Highpass
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я смотрю народ интерисуется распакованным файлом xmplay.exe Чтож, действительно, для распаковки можно воспользоваться XVolkolak, но у полученного таким образом файла будет два недостатка: 1. В файле будет мусорная секция, что в принципе не так страшно. 2. Секция с таблицей импорта идет после секции ресурсов. А вот это очень плохо, ибо при модификации ресурсов, которая вызовет увеличение или уменьшение размера секции ресурсов, сохраненный файл скорей всего будет битый, ибо "съедут" адреса секций и пойнтеры на таблицу импорта станут не валидны. Такое например может случиться если переделывать\удалять ресурсы через Resource Hacker. Собственно если кому интересно, то я сделал распакованный вариант в котором нет мусора, и в котором секция ресурсов следует за секцией импорта. Использован XVolkolak с некоторыми последующими манипуляциями. Скажу сразу, что мой распакованный файл вызывает 9 срабатываний на VirusTotal. Собственно столько же вызывает и немодифицированный файл после XVolkolak. Вот репорты: xmplay.exe (упакован PETite) - 3 срабатывания Распакованный через XVolkolak - 9 срабатываний XVolkolak + перестройка порядка секций - 9 срабатываний Вообще это подозрительно. Распакованный файл дает больше срабатываний, чем файл с навешенным пакером. Проведем небольшой тест. Возьмем lzma.exe из 7-zip SDK, упакуем через PETite 2.4 и распакуем через XVolkolak. Получим: Чистый lzma.exe - 0 срабатываний Упакованный - 14 срабатываний Распакованный - 4 срабатывания Первый вывод - XMplay упакован непубличной версией PETite, которая дает 3 срабатывания вместо 14. Второй вывод - В xmplay.exe есть куски кода, которые не нравятся антивирусным движкам, ибо мы имеем на 5 срабатываний больше в распакованных файлах. Возможно это и есть причина того, что автор уперто продолжает пользоваться своим пакером PETite, вместо использования чистого файла или использования UPX, который хоть и жмет лучше, но легче распаковывается антивирусными движками для последующего сканирования незапакованного кода. Что-то я отвлекся. Мой анпак версии 3.8.3.4 можно скачать здесь. EDIT: Удалил ссылку. Файл не работает нормально. | Всего записей: 72 | Зарегистр. 23-06-2009 | Отправлено: 18:32 22-12-2019 | Исправлено: Highpass, 16:38 24-12-2019 |
|