Вопрос Что это за странный набор строк в IDA?

lascdre · 2 Янв 2023

Решил посмотреть один екзешник (лоадер чита) и вижу вот это

Хочу узнать, что это такое, пожалуйста

upd: не ставьте реакции по типу то что я ничего не знаю в IDA и спрашиваю какую-то хрень, я реально не знаю что это и поэтому спрашиваю, а учебники очень длинные и большие, 80% инфы в них - вода и мне она не пригодится

moneymaker69 · 2 Янв 2023

Вероятнее всего он под протектом VMP или чет другое

lascdre · 2 Янв 2023

Vorishka13 написал(а):
Вероятнее всего он под протектом VMP или чет другое

нету там вмп, никаких длл не лоадится в лоадер, но я не вижу в кусочках кода что-то про MessageBox (там они вылезают, если определенные кнопки жать)
так что я без понятия чем екзешник накрыт

Ahora_technology · 2 Янв 2023

Наверняка нельзя сказать, пока не узнаешь, где это используется.
Возможные тупые варианты:
1)Shell?
2)Some enecrypted shit/code/arry(context?)?
3)Есть другие варианты, аля Ida где-то перестала дизассемблировать(C ->force(если это начала кода и это вообще код ))
4)мне лень думать и я хочу пиццу
Посмотрите, где это используется/ссылается на это в коде(xref/нажмите x,если Ida смогла найти обращение к этому массиву).
Мы предполагаем(а мне это не нравится особо), а тут нужна практика.
P.S пожалуйста, потратьте время на изучение и не говорите, что в литературе много воды и вам это не нужно(и при этом сразу писать сюда).

Hhlazy · 2 Янв 2023

я могу быть не прав, но мне кажется, что это байты

CaharcolT · 2 Янв 2023

Похоже на нерасшифрованные строки (судя по директиве dd), если это не защита такая, то по идее ida просто не стала их переводить в символы

+если как сказано ранее вылетает messagebox то наверно это под него и текст собственно?

но это не точно

no_life · 2 Янв 2023

lascdre написал(а):
учебники очень длинные и большие, 80% инфы в них - вода и мне она не пригодится

мем

mhalaider · 2 Янв 2023

lascdre написал(а):
Решил посмотреть один екзешник (лоадер чита) и вижу вот это
Посмотреть вложение 233900
Хочу узнать, что это такое, пожалуйста

upd: не ставьте реакции по типу то что я ничего не знаю в IDA и спрашиваю какую-то хрень, я реально не знаю что это и поэтому спрашиваю, а учебники очень длинные и большие, 80% инфы в них - вода и мне она не пригодится

Более великие реверсяры подскажут конечно. Но могу предположить, что это всё накрыто обфускацией и это, как ни странно, обфусцированный участок в памяти. Потому можешь задампить и чекнуть данный регион. Так же тебе может помочь плагин HashDB. Там есть пара странных моментов в установке, но всё в общем-то просто.

lascdre · 4 Янв 2023

mhalaider написал(а):
Более великие реверсяры подскажут конечно. Но могу предположить, что это всё накрыто обфускацией и это, как ни странно, обфусцированный участок в памяти. Потому можешь задампить и чекнуть данный регион. Так же тебе может помочь плагин HashDB. Там есть пара странных моментов в установке, но всё в общем-то просто.

я пытался задампить, но не понял как правильно это сделать, я дампил через программу PE TOOLS лоадер и ничего не поменялось.
может я что-о не так делаю?
попытаюсь, посмотрю, спасибо за ответ, в отличие от других, кто просто реакции ставит и комментит хрень какую-то

CaharcolT написал(а):
Похоже на нерасшифрованные строки (судя по директиве dd), если это не защита такая, то по идее ida просто не стала их переводить в символы

+если как сказано ранее вылетает messagebox то наверно это под него и текст собственно?

но это не точно

не уверен, слишком уж большой текст, я не выкладывал все скрины всего текста, т.к. слишком долго выйдет, может это длл, которая загружается в лоадер и там уже вся эта хрень с мессейдж боксами есть?

Ahora57 написал(а):
Наверняка нельзя сказать, пока не узнаешь, где это используется.
Возможные тупые варианты:
1)Shell?
2)Some enecrypted shit/code/arry(context?)?
3)Есть другие варианты, аля Ida где-то перестала дизассемблировать(C ->force(если это начала кода и это вообще код ))
4)мне лень думать и я хочу пиццу
Посмотрите, где это используется/ссылается на это в коде(xref/нажмите x,если Ida смогла найти обращение к этому массиву).
Мы предполагаем(а мне это не нравится особо), а тут нужна практика.
P.S пожалуйста, потратьте время на изучение и не говорите, что в литературе много воды и вам это не нужно(и при этом сразу писать сюда).

1) что это?
2) как я это раздекрипчу?
3) нет, это не код
нигде не используется
в том то и дело, что времени на это нет, куча воды читать такое себе дело, мне нравится коротко и ясно, без лишней траты времени
в учебниках всё разжевивают для особо тупых мне так кажется, и мне это совсем не нравится, авторы тратят время на то чтобы объяснить по словам, что именно что-то значит

mhalaider · 4 Янв 2023

lascdre написал(а):
1) что это?

Shell code, look at гуглье

lascdre написал(а):
2) как я это раздекрипчу?

HashDB поможет, но не со всем справляется

lascdre написал(а):
3) нет, это не код
нигде не используется

Значит ты что-то упустил, вполне вероятно. Либо это сохранённые байты.

lascdre написал(а):
в том то и дело, что времени на это нет, куча воды читать такое себе дело, мне нравится коротко и ясно, без лишней траты времени
в учебниках всё разжевивают для особо тупых мне так кажется, и мне это совсем не нравится, авторы тратят время на то чтобы объяснить по словам, что именно что-то значит

вот именно в этих "разжевываниях" и скрывается большинство смысла. А-ля я и так знаю, что делает основные функции асма, пропущу этот раздел, но потом выясняется, что надо прочитать и в этих прожёвках выявить для себя суть. Дело слегко муторное и иногда скучное, но без него никак. Так что читай, грызи, вникай, тогда увидишь результат. Но, спойлер, что там за набор байт тебе книжка вряд ли даст точный ответ, надо смотреть на поведение программы.

lascdre · 4 Янв 2023

mhalaider написал(а):
Shell code, look at гуглье

HashDB поможет, но не со всем справляется

Значит ты что-то упустил, вполне вероятно. Либо это сохранённые байты.

вот именно в этих "разжевываниях" и скрывается большинство смысла. А-ля я и так знаю, что делает основные функции асма, пропущу этот раздел, но потом выясняется, что надо прочитать и в этих прожёвках выявить для себя суть. Дело слегко муторное и иногда скучное, но без него никак. Так что читай, грызи, вникай, тогда увидишь результат. Но, спойлер, что там за набор байт тебе книжка вряд ли даст точный ответ, надо смотреть на поведение программы.

сорян за глупый вопрос, но, как установить плагин на ИДУ?

qqqqqq111111 · 4 Янв 2023

lascdre написал(а):
сорян за глупый вопрос, но, как установить плагин на ИДУ?

в папку plugins

mhalaider · 4 Янв 2023

lascdre написал(а):
сорян за глупый вопрос, но, как установить плагин на ИДУ?

там небольшая дрочь с питоном, установи путь к питону не на тот, что в файлах иды, а на твой основной питон, который, скорее всего, на диске C:/ ( тот же что и в PATH ). Ну и поставь недостающие модули

OXXXYMlRON · 4 Янв 2023

похоже на байткод для вм

lascdre написал(а):
нету там вмп, никаких длл не лоадится в лоадер

никаких дллок и не залоадится в лоадер, прыжок в виртуалку вмп заносит напрямик в бинарь

qqqqqq111111 · 4 Янв 2023

truepee написал(а):
похоже на байткод для вм

никаких дллок и не залоадится в лоадер, прыжок в виртуалку вмп заносит напрямик в бинарь

Нихуя себе, байткод для вм ))

OXXXYMlRON · 4 Янв 2023

invers1on написал(а):
Нихуя себе, байткод для вм ))

Пожалуйста, авторизуйтесь для просмотра ссылки.

qqqqqq111111 · 4 Янв 2023

truepee написал(а):
Пожалуйста, авторизуйтесь для просмотра ссылки.

Ты походу очень крутой реверсер, если по байтам можешь распознать принадлежность данного участка

OXXXYMlRON · 4 Янв 2023

invers1on написал(а):
Ты походу очень крутой реверсер, если по байтам можешь распознать пренадлежность данного участка

"похоже"

чувааак =D

qqqqqq111111 · 4 Янв 2023

truepee написал(а):
"похоже"

чувааак =D

Чуваак =D , жаль что ты обиделся на одно предложение в котором не было ни одного оскорбления и начал кидать провокации.Ты можешь пройти мимо и не обсиратся со своими говно-теориями.