Комментарии 8
А стандартные анпакеры не взяли? Я б ни в жисть не догадался дампить вот так вот…
Судя по сигнатуре, там Themida (причём, некоторые недобросовестные антивирусы, не в силах расколупать протектор, сразу же называют его трояном — ну а чего, авось пользователь испугается, не запустит), а её распаковывать — не самое приятное занятие.
Ну если дамп эксплорером возможен, то любой автоанпакер должен справиться. Явно настройки пакера на минимуме защиты.
Пара наугад взятых автоанпакеров не справились.
Распаковать бинарник — на порядок сложнее, чем просто сдампить память процесса: нужно воссоздавать таблицу секций, таблицу импорта, релокации и всё такое прочее.
Распаковать бинарник — на порядок сложнее, чем просто сдампить память процесса: нужно воссоздавать таблицу секций, таблицу импорта, релокации и всё такое прочее.
themida обычно портит таблицы импорта и точку входа и что-то еще.
сдампить с отладчика можно без проблем, даже не делая ни каких краш дампов,
а вот при запуске сдампленной программы, она упадет с ошибкой.
сдампить с отладчика можно без проблем, даже не делая ни каких краш дампов,
а вот при запуске сдампленной программы, она упадет с ошибкой.
Но остались без объяснения три загадочные вещи:
Зачем внутри здешней strcmp() вызов Sleep(700)?
По-моему это очевидно: защита от брутфорса.
Почему, когда мы ввели загаданное число, программа подвисла на десяток секунд, прежде чем напечатала «Good job my friend!»?
Sleep(700); вызывается при проверки всей строки или таки для проверки каждого символа?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Головоломка «Test My Patience» от Check Point Security Academy