Дамп строк в dll

Rinzler_ · 4 Янв 2023

Возникла такая проблема:

Недавно пытался получить строки библиотеки инжектора, но не смог их декодировать через xor, пытался сделать другими методами - не получилось. Понимаю, что вопрос довольно банальный, но рассчитываю на небольшую помощь. Заранее спасибо!
Ссылка на библиотеку:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Ссылка на VirusTotal:

Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S. Это не зловред, если боитесь скачивать - не скачивайте.
(Хватит удалять тему, это 6лять уже 3 раз)

invers1on · 4 Янв 2023

Rinzler_ написал(а):
Возникла такая проблема:

Недавно пытался получить строки библиотеки инжектора, но не смог их декодировать через xor, пытался сделать другими методами - не получилось. Понимаю, что вопрос довольно банальный, но рассчитываю на небольшую помощь. Заранее спасибо!
Ссылка на библиотеку:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Ссылка на VirusTotal:
Пожалуйста, авторизуйтесь для просмотра ссылки.

P.S. Это не зловред, если боитесь скачивать - не скачивайте.
(Хватит удалять тему, это 6лять уже 3 раз)

Ты можешь просто сдампить с рантайма если они обратно не зашифровываются

Rinzler_ · 5 Янв 2023

invers1on написал(а):
Ты можешь просто сдампить с рантайма если они обратно не зашифровываются

А можно чуть подробнее?

Ahora_technology · 5 Янв 2023

1)Можете попробовать

Пожалуйста, авторизуйтесь для просмотра ссылки.

тулзу
2)Лучше найдите обращение к ним в статическом анализе(если это возможно) или дойдите до момента, когда они расшифровываются runtime(чтение строк или запись в них)