За урок по вставке ссылки с своим текстом спасибо. Кнопка вставки ссылки почему-то не работает (наверное что-то с настройками в обозревателе), поэтому код приходится вбивать вручную, но главное что конечный результат есть.
Так PEID не единственный анализатор файлов.
Я например использую в основном два
За ссылку спасибо, но колекция анализаторов (в том числе упоминаемых и тех что по указаной ссылке) у меня имеется. В большинстве случаев также использую так сказать "избранные". Результат работы их пока раньше удовлетворял. Так как ни один из них не обнаружил упаковщика, и большинство ресурсов интересуемого файла в редакторе доступны для изменений, решил, что файл не упакован, вот и задался вопросом, чем и как переводить такие необычно-отображаемые ресурсы.
Ничего не понял. Перевод какого"лечения" ???
Это того, что в папке, находящейся в архиве по первой ссылке, которую давал постом выше.
Хотя после последних экспериментов думаю не имеет значение, какой рассматривать этот или оригинал.
Чтобы понятней, излагаю свои рассужения.
Так как быстрого решения пока не предлагалось предположил, что эти "необычные" ресурсы могли быть как-то сжаты (зашифрованы) в результате изменений, когда интерресуемый файл "приспосабливался" для его прямого назначения. Поэтому более требовательней отнеся к анализу, задействуя большее количество инструментов. При расширенном методе анализа RDG Packer Detector кое-что обнаружил. Произвел анализ оригинала - тоже обнаружился упаковщик, но другой (PETite 1.4). Избавился от PETite соответствующим распаковщиком. В результате, ожидания не оправдались - интересуемые ресурсы после распаковки редактор отображает в том-же виде, что на ранее выложеном скриншоте - Посмотреть.
Повторно произвел анализ (уже распакованого от PETite) оригинала с помощью RDG Packer Detector. Обнаружилось тоже, что при анализе лекарства( для удобства понимания файлы на скриншотах переименованы):
Не знаю может и не так, но предполагаю, что перед тем как файл упаковать с помощью PETite интересуемые ресурсы предварительно были зашифрованы одним из указывемых протекторов (а может и почердно каждым), поэтому после распаковки они и отображаются в редакторе в ненадлежащем виде и недоступны для изменений.
Информации по автоматическому избавлению от подобных протекторов на которые указывает RDG Packer Detector не обнаружил, поэтому проверить свои предположения не удалось. По ручной распаковке на подобную тему некоторая инфа есть. По Obsidium есть Здесь и Здесь. Относительно VMProtect, инфи есть чуть больше достаточно - в Гугле ввести "Unpacking VMProtect". К сожалению без особых знаний и тем более на английском, самому сложно и по быстрому не получится. Это уже наверное к реверсникам.
Есть какие рассуждения и предложения на этот случай?
Отредактировано Balero (2011-03-03 13:11:23)