• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Как удалить склейку с вирусом и получить незараженный исполняемый файл?

xxxzsx

New member
10.10.2020
4
0
Какие инструменты могут помочь разобрать и удалить склейку, чтобы вернуть программу в исходный вид? Вручную через рефлектор/подобное либо автоматом если для этого что-то существует? Ни один из антивирусов, которые хвастаются кнопкой «вылечить файл», не вылечил ничего из того что у меня имеется, да я и не ожидал от них.
 

explorer

Platinum
05.08.2018
1 065
2 426
Какие инструменты могут помочь разобрать и удалить склейку, чтобы вернуть программу в исходный вид? Вручную через рефлектор/подобное либо автоматом если для этого что-то существует? Ни один из антивирусов, которые хвастаются кнопкой «вылечить файл», не вылечил ничего из того что у меня имеется, да я и не ожидал от них.

Если коротко - НИКАК. Если точнее, то нет никаких автоматических инструментов для этих целей, и не будет никогда. Единственный вариант это реверс программы, то есть получение исходного кода с его последующей правкой. А для этого нужны очень хорошие навыки работы с бинарщиной, умение пользоваться такими отладчиками как IDA, OLLYDBG и т.д., и знать ассемблер, иначе ничего не выйдет.

Именно поэтому поиски каких-то других решений бесполезны, их просто не существует.
 

Pernat1y

Red Team
05.04.2018
1 444
126
Именно поэтому поиски каких-то других решений бесполезны, их просто не существует.
Да ладно. Большинство биндеров дропают файл, а не запускает его из памяти. Поэтому простой запуск склейки в ВМ и забор нужного файла из %temp% (или ещё откуда) обычно решает проблему.
А по поводу "и не будет никогда" и тех биндеров, которые запускают софт из памяти, то есть софт для мониторинга WriteProcessMemory, которые вполне себе могут перехватить нужный кусок бинарника.

@xxxzsx могу помочь, если бинарником поделишься.
 
Последнее редактирование:

Pernat1y

Red Team
05.04.2018
1 444
126
С чего ты взял, что там клей? Несколько файлов потыкал - вроде ничего подозрительного.
 

xxxzsx

New member
10.10.2020
4
0
С чего ты взял, что там клей? Несколько файлов потыкал - вроде ничего подозрительного.
Да закинь любой файл в VirusTotal.
Norton и Avast на моем ПК оба жалуются на ряд файлов из этого сборника, не на все, но точно на половину. TextUtils например сразу в карантин полетел, они его ещё друг у друга отбирали, кто первее.
Запуск нескольких утилит в виртуальной машине привел к тому что она начала плохо себя вести, изгадились все ярлыки, хром начал запускать какие-то страницы http ://go. 2go2. go/... с подобными url-адресами. Во все щели систему подолбило.
Ты наверно посмотрел плохо.
 
Последнее редактирование:

Pernat1y

Red Team
05.04.2018
1 444
126
Да закинь любой файл в VirusTotal.
Norton и Avast на моем ПК оба жалуются на ряд файлов из этого сборника, не на все, но точно на половину. TextUtils например сразу в карантин полетел, они его ещё друг у друга отбирали, кто первее.
Запуск нескольких утилит в виртуальной машине привел к тому что она начала плохо себя вести, изгадились все ярлыки, хром начал запускать какие-то страницы http ://go. 2go2. go/... с подобными url-адресами. Во все щели систему подолбило.
Ты наверно посмотрел плохо.
Какие именно файлы нужны? Их там довольно много.
 
Мы в соцсетях:

1 августа стартует курс «Основы программирования на Python» от команды The Codeby

Курс будет начинаться с полного нуля, то есть начальные знания по Python не нужны. Длительность обучения 2 месяца. Учащиеся получат методички, видео лекции и домашние задания. Много практики. Постоянная обратная связь с кураторами, которые помогут с решением возникших проблем.

Запись на курс до 10 августа. Подробнее ...