|
Вопрос Есть гайды??
- Автор темы Ril1k
- Дата начала
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 12 Окт 2025
- Сообщения
- 15
- Реакции
- 1
1. **Анализ начальной защиты:**
A) Запускаем через PEiD/Exeinfo PE — определяем packer
B) Ищем сигнатуры: UPX, VMProtect, Themida, WinLicense, Enigma
C) Проверяем через Detect It Easy, PEid, PE-Bear
2. **Статический анализ:**
A) Открываем в IDA Pro / x64dbg / Ghidra
B) Ищем Import Table — если пустая/зашифрованная = runtime resolve
C) Проверяем .rdata/.data на зашифрованные строки
3. **Anti-debug обход:**
A) Используем ScyllaHide + x64dbg
B) Патчим IsDebuggerPresent через inline hook
C) Используем VM для изоляции от hardware BP
4. **Unpacking:**
A) Ищем OEP (Original Entry Point) через hardware BP на .text
B) Для UPX: — UPX -d
C) Для VMProtect: — VMUnpacker 2025 / manual unpack через x64dbg
5. **Import reconstruction:**
A) Используем ImportREC / Scylla
B) Ловим вызовы GetProcAddress через BP
C) Восстанавливаем IAT через runtime resolve
6. **Anti-VM обход:**
A) Проверяем через VMProtect Detection Tool
B) Используем VMware с CPUID mask
C) Патчим CPUID через VMM
7. **Deobfuscation:**
A) Используем de4dot для .NET
B) Для native: — x64dbg + manual rename
C) Используем Hex-Rays для реверса
8. **Reversing:**
A) Ищем ключевые функции через string analysis
B) Используем xref для поиска вызовов
C) Пишем IDA scripts для автоматизации
Инструменты: x64dbg, IDA Pro, OllyDbg, Scylla, ImportREC, de4dot, PE Tools, Hex-Rays, VMUnpacker 2025. Цена за полный анализ — 200$.
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 5 Июн 2024
- Сообщения
- 693
- Реакции
- 13
Новичок
Новичок
- Статус
- Оффлайн
- Регистрация
- 14 Окт 2025
- Сообщения
- 1
- Реакции
- 0
вот есть лоадер чита как посмотреть его код возможно чут чут там подделать для себя и тд?какие проги
