Вопрос Что это за странный набор строк в IDA?

Пользователь
Статус
Оффлайн
Регистрация
23 Авг 2021
Сообщения
521
Реакции[?]
53
Поинты[?]
20K
Решил посмотреть один екзешник (лоадер чита) и вижу вот это
1672670029959.png
Хочу узнать, что это такое, пожалуйста

upd: не ставьте реакции по типу то что я ничего не знаю в IDA и спрашиваю какую-то хрень, я реально не знаю что это и поэтому спрашиваю, а учебники очень длинные и большие, 80% инфы в них - вода и мне она не пригодится
 
profitprogrammer
Участник
Статус
Оффлайн
Регистрация
13 Дек 2020
Сообщения
908
Реакции[?]
191
Поинты[?]
73K
Вероятнее всего он под протектом VMP или чет другое
 
Пользователь
Статус
Оффлайн
Регистрация
23 Авг 2021
Сообщения
521
Реакции[?]
53
Поинты[?]
20K
Вероятнее всего он под протектом VMP или чет другое
нету там вмп, никаких длл не лоадится в лоадер, но я не вижу в кусочках кода что-то про MessageBox (там они вылезают, если определенные кнопки жать)
так что я без понятия чем екзешник накрыт
 
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
258
Поинты[?]
86K
Наверняка нельзя сказать, пока не узнаешь, где это используется.
Возможные тупые варианты:
1)Shell?
2)Some enecrypted shit/code/arry(context?)?
3)Есть другие варианты, аля Ida где-то перестала дизассемблировать(C ->force(если это начала кода и это вообще код ))
4)мне лень думать и я хочу пиццу
Посмотрите, где это используется/ссылается на это в коде(xref/нажмите x,если Ida смогла найти обращение к этому массиву).
Мы предполагаем(а мне это не нравится особо), а тут нужна практика.
P.S пожалуйста, потратьте время на изучение и не говорите, что в литературе много воды и вам это не нужно(и при этом сразу писать сюда).
 
Пользователь
Статус
Оффлайн
Регистрация
2 Мар 2021
Сообщения
178
Реакции[?]
79
Поинты[?]
20K
я могу быть не прав, но мне кажется, что это байты
 
Пользователь
Статус
Оффлайн
Регистрация
4 Авг 2017
Сообщения
262
Реакции[?]
42
Поинты[?]
3K
Похоже на нерасшифрованные строки (судя по директиве dd), если это не защита такая, то по идее ida просто не стала их переводить в символы

+если как сказано ранее вылетает messagebox то наверно это под него и текст собственно?

но это не точно
 
Забаненный
Статус
Оффлайн
Регистрация
27 Ноя 2022
Сообщения
77
Реакции[?]
26
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Участник
Статус
Оффлайн
Регистрация
15 Янв 2021
Сообщения
500
Реакции[?]
311
Поинты[?]
101K
Решил посмотреть один екзешник (лоадер чита) и вижу вот это
Посмотреть вложение 233900
Хочу узнать, что это такое, пожалуйста

upd: не ставьте реакции по типу то что я ничего не знаю в IDA и спрашиваю какую-то хрень, я реально не знаю что это и поэтому спрашиваю, а учебники очень длинные и большие, 80% инфы в них - вода и мне она не пригодится
Более великие реверсяры подскажут конечно. Но могу предположить, что это всё накрыто обфускацией и это, как ни странно, обфусцированный участок в памяти. Потому можешь задампить и чекнуть данный регион. Так же тебе может помочь плагин HashDB. Там есть пара странных моментов в установке, но всё в общем-то просто.
 
Пользователь
Статус
Оффлайн
Регистрация
23 Авг 2021
Сообщения
521
Реакции[?]
53
Поинты[?]
20K
Более великие реверсяры подскажут конечно. Но могу предположить, что это всё накрыто обфускацией и это, как ни странно, обфусцированный участок в памяти. Потому можешь задампить и чекнуть данный регион. Так же тебе может помочь плагин HashDB. Там есть пара странных моментов в установке, но всё в общем-то просто.
я пытался задампить, но не понял как правильно это сделать, я дампил через программу PE TOOLS лоадер и ничего не поменялось.
может я что-о не так делаю?
попытаюсь, посмотрю, спасибо за ответ, в отличие от других, кто просто реакции ставит и комментит хрень какую-то
Похоже на нерасшифрованные строки (судя по директиве dd), если это не защита такая, то по идее ida просто не стала их переводить в символы

+если как сказано ранее вылетает messagebox то наверно это под него и текст собственно?

но это не точно
не уверен, слишком уж большой текст, я не выкладывал все скрины всего текста, т.к. слишком долго выйдет, может это длл, которая загружается в лоадер и там уже вся эта хрень с мессейдж боксами есть?
Наверняка нельзя сказать, пока не узнаешь, где это используется.
Возможные тупые варианты:
1)Shell?
2)Some enecrypted shit/code/arry(context?)?
3)Есть другие варианты, аля Ida где-то перестала дизассемблировать(C ->force(если это начала кода и это вообще код ))
4)мне лень думать и я хочу пиццу
Посмотрите, где это используется/ссылается на это в коде(xref/нажмите x,если Ida смогла найти обращение к этому массиву).
Мы предполагаем(а мне это не нравится особо), а тут нужна практика.
P.S пожалуйста, потратьте время на изучение и не говорите, что в литературе много воды и вам это не нужно(и при этом сразу писать сюда).
1) что это?
2) как я это раздекрипчу?
3) нет, это не код
нигде не используется
в том то и дело, что времени на это нет, куча воды читать такое себе дело, мне нравится коротко и ясно, без лишней траты времени
в учебниках всё разжевивают для особо тупых мне так кажется, и мне это совсем не нравится, авторы тратят время на то чтобы объяснить по словам, что именно что-то значит
 
Последнее редактирование:
Участник
Статус
Оффлайн
Регистрация
15 Янв 2021
Сообщения
500
Реакции[?]
311
Поинты[?]
101K
Shell code, look at гуглье

2) как я это раздекрипчу?
HashDB поможет, но не со всем справляется
3) нет, это не код
нигде не используется
Значит ты что-то упустил, вполне вероятно. Либо это сохранённые байты.
в том то и дело, что времени на это нет, куча воды читать такое себе дело, мне нравится коротко и ясно, без лишней траты времени
в учебниках всё разжевивают для особо тупых мне так кажется, и мне это совсем не нравится, авторы тратят время на то чтобы объяснить по словам, что именно что-то значит
вот именно в этих "разжевываниях" и скрывается большинство смысла. А-ля я и так знаю, что делает основные функции асма, пропущу этот раздел, но потом выясняется, что надо прочитать и в этих прожёвках выявить для себя суть. Дело слегко муторное и иногда скучное, но без него никак. Так что читай, грызи, вникай, тогда увидишь результат. Но, спойлер, что там за набор байт тебе книжка вряд ли даст точный ответ, надо смотреть на поведение программы.
 
Пользователь
Статус
Оффлайн
Регистрация
23 Авг 2021
Сообщения
521
Реакции[?]
53
Поинты[?]
20K
Shell code, look at гуглье


HashDB поможет, но не со всем справляется

Значит ты что-то упустил, вполне вероятно. Либо это сохранённые байты.

вот именно в этих "разжевываниях" и скрывается большинство смысла. А-ля я и так знаю, что делает основные функции асма, пропущу этот раздел, но потом выясняется, что надо прочитать и в этих прожёвках выявить для себя суть. Дело слегко муторное и иногда скучное, но без него никак. Так что читай, грызи, вникай, тогда увидишь результат. Но, спойлер, что там за набор байт тебе книжка вряд ли даст точный ответ, надо смотреть на поведение программы.
сорян за глупый вопрос, но, как установить плагин на ИДУ?
 
Участник
Статус
Оффлайн
Регистрация
15 Янв 2021
Сообщения
500
Реакции[?]
311
Поинты[?]
101K
сорян за глупый вопрос, но, как установить плагин на ИДУ?
там небольшая дрочь с питоном, установи путь к питону не на тот, что в файлах иды, а на твой основной питон, который, скорее всего, на диске C:/ ( тот же что и в PATH ). Ну и поставь недостающие модули
 
Эксперт
Статус
Оффлайн
Регистрация
29 Мар 2021
Сообщения
1,605
Реакции[?]
607
Поинты[?]
48K
похоже на байткод для вм
нету там вмп, никаких длл не лоадится в лоадер
никаких дллок и не залоадится в лоадер, прыжок в виртуалку вмп заносит напрямик в бинарь
 
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
695
Реакции[?]
326
Поинты[?]
12K
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
695
Реакции[?]
326
Поинты[?]
12K
Эксперт
Статус
Оффлайн
Регистрация
29 Мар 2021
Сообщения
1,605
Реакции[?]
607
Поинты[?]
48K
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
695
Реакции[?]
326
Поинты[?]
12K
"похоже"

чувааак =D
Чуваак =D , жаль что ты обиделся на одно предложение в котором не было ни одного оскорбления и начал кидать провокации.Ты можешь пройти мимо и не обсиратся со своими говно-теориями.
 
Сверху Снизу