AngelNet
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Inoz2000 ну конвертировать вы допустим и сами могли бы: https://www.base64decode.org/ судя по MZ и PE в тексте это исполнимый файл. вот ссылка на декодированный: https://www.upload.ee/files/11908921/decoded-20200621113727.exe.html можете открыть в любом HEX-редакторе и посмотреть. лично я вижу упоминания про упаковку и webUI. (определённо ненужный довесок для сабжа). так что если бы я выбирал из тех двух EXE что выложил александр, то взял бы без этого "добра". /imho/ Добавлено: add: перевод вашего текста, кому лень читать по английски. Цитата: Пришло время сделать окончательный вывод: эти исполняемые файлы идентичны, за исключением кода кампании (числа). Это то, что разработчики сделали уже несколько лет назад, я посмотрел исполняемый файл µTorrent пару лет назад и нашел код кампании 170 (встроенный таким же образом). Способ внедрения кода кампании сложен: текстовый файл внутри ZIP-файла внутри PE-файла, закодированный в BASE64 и введенный в цифровую подпись PE-файла. Почему это так сложно? Я не знаю, может быть, они используют этот метод для предотвращения спуфинга: подписывая встроенный PE-файл (самозаверяющий сертификат), встроенный код кампании тоже подписывается. Но он также был бы подписан, если бы он был просто встроен в качестве ресурса в подписанный исполняемый файл µTorrent (обратите внимание, что файлы µTorrent подписаны коммерческим сертификатом подписи кода (BitTorrent Inc) и встроенным PE-файлом с самозаверяющим сертификатом (com .bittorent)). |
|