از كجا بفهميم فايلي پك شده يا نه ؟

**japrap** · 29-08-2009, 15:10

با سلام مي خواستم بدونم اگه فايلي را با peid بررسي كنيم ( همچنين با پلاگين advanced scan ) و همچنين با برنامه هاي ديگري مثل rdg يا PE_Detective و همه ي آنها بگويند كه nothing found آيا حتما ديگه اون فايل پك نشده است يا مي تواند با برنامه اي پك شده باشد كه اين برنامه ها آن را نشناسند مثلا فايلي را كه با joker protector پك شده بود هيچ يك از اين برنامه ها نمي شناختند و همه ي آنها پيغام upx مي دادند در حالي كه اين فايل با upx پك شده بود ولي در واقع joker protector نيز در پروتكت فايل نقش داشته حالا مي خواستم بدونم از كجا مي فهميم يه فايل پك شده است يا نه ؟ (روش دستي فهميدن اينكه يه فايل پك شده يا نه چيه ؟)

**B E H Z A D** · 30-08-2009, 09:00

شما با نگاه به سکشن های فایل و همین طور قیافه ی برنامه توی ollydbg میتونی بفهمی فایل پک شده یا نه .

**japrap** · 01-09-2009, 11:16

ميشه يكم بيشتر توضيح بدي ؟

**B E H Z A D** · 01-09-2009, 17:25

ببینید شما نباید فقط از PEID استفاده کنید من پیشنهاد میکنم در کنار PEID از ابزارهای دیگه ای مثل RDG و Exeinfo هم استفاده کنید حالا اگه PEID نتونست فایل شما رو تشخیص بده این به این دلیله که Signature فایل شما در PEID وجود نداره ولی شما میتونید به سکشن ها نگاه کنید کافیه گزینه EP Section رو در PEID بزنید تا سکشن ها بیان و اونجا توی اسم سکشن ها باید نگاه کنید تا متوجه پک شدن فایل بشید اگه اسم سکشن ها رو اینجا بذارید راحت تر میتونم جوابتونو بدم .

**japrap** · 03-09-2009, 11:07

نوشته شده توسط B E H Z A D [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ببینید شما نباید فقط از PEID استفاده کنید من پیشنهاد میکنم در کنار PEID از ابزارهای دیگه ای مثل RDG و Exeinfo هم استفاده کنید حالا اگه PEID نتونست فایل شما رو تشخیص بده این به این دلیله که Signature فایل شما در PEID وجود نداره ولی شما میتونید به سکشن ها نگاه کنید کافیه گزینه EP Section رو در PEID بزنید تا سکشن ها بیان و اونجا توی اسم سکشن ها باید نگاه کنید تا متوجه پک شدن فایل بشید اگه اسم سکشن ها رو اینجا بذارید راحت تر میتونم جوابتونو بدم .

دوست عزيز اين يك سوال عمومي بود . همچنين من از rdg هم استفاده مي كنم ولي exeinfo نمي دونم چرا در ويندوزم كار نميده .

دوست عزيز شما با توجه به كدوم مورد مي تونيد يك unknown packer را تشخيص بديد. چون خيلي از افراد از پكرهاي شخصي كه خودشون مي نويسند استفاده مي كنند و مشخصه كه هيچ وقت Signature نرم افزار هايي مانند peid و ... كامل نيست من فقط مي خوام اينو بدونم كه از كجا ميشه فهميد يه فايل پك شده (نوع پكرش مهم نيست )

**B E H Z A D** · 03-09-2009, 11:36

ببینید مثلا" پروتکتور SLVc0deprotector رو PEID نمیتونه تشخیص بده حتی اگه Signature فایل رو هم بهش اضافه کنی چون این پروتکتور در هر فایل Signature خودشو تغییر میده ولی چنت راه هست که میتونید بفهمید که فایلتون با این پروتکتور محافظت میشه مثلا" اولین راه اینه که در سکشن ها نگاه کنید اگه اسم یه سکشن ::ICU:: بود این به این معناست که فایل با این پروتکتور محافظت میشه البته نه همه وقتها حالا اگه برنامه نویس زنگ بود و اسم سکشن رو تغییر داده بود میتونید از نوع آنتی دیباگش بفهمید .

**japrap** · 03-09-2009, 23:49

خوب اينكه اگه فايلي آنتي ديباگ داشت به طور حتم پك شده اين مطلب تا حدودي درست است (نه هميشه)چرا ؟ چون همونطور كه مي دونيد يكي از اين آنتي ديباگرها IsDebuggerPresent است ولي به هيچ عنوان اين برنامه پروتكتور نيست . همچنين از كجا ميشه از نوع آنتي ديباگ نوع پروتكتور را تشخيص داد ؟
اما دوست عزيز شما گفتيد ::ICU:: نشانگر SLVc0deprotector است در مورد بقيه چطور .آيا منبع كاملي مي شناسيد ؟

**B E H Z A D** · 04-09-2009, 11:10

خوب شما باید اونقدر با این فایل ها کار کنید تا بفهمید مثلا خیلی از کرکر ها بدون اینکه برنامه رو با PEID باز کنن از روی کد برنامه میفمن برنامه با چی نوشته شده .

نام تاپيک: از كجا بفهميم فايلي پك شده يا نه ؟

اختيارات تاپيک

از كجا بفهميم فايلي پك شده يا نه ؟

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن