Бывает, серьёзные протекторы используют имена секций а-ля UPX. Если запрос ещё актуален - скиньте софтину в ЛС, гляну на досуге.
Аверы же анпакают как-то вроде. Или имеется ввиду если с тулзой идет ключ в нагрузку ? Если так - то да.
Аверы не анпакают, а в большинстве случаев дампят основной стаб, во время запуска в своей внутренней песочнице, зашифрованые участки остаются нечитаемыми. Все сигнатуры утехших в паблик протов по-дефолту считаются аверами как угроза. Так же у аверов есть инструмент для чтения цифровых подписей. Когда очередной билд ВМП оказывается скарженым, аверам отправляют подпись утекшего билда, которая присутсвует во всех накрытых таргетах. С энигмой аналогично, только умельцы разобрали старую энигму и нашли как чистить подпись. p.s.: Это дела давно минувших дней, сейчас возможно новые технологии применяются.
Старые билды этой софтины запакованы и распаковываются upx нормально, видимо тут решили добавить "перчинки" с вводом функционала жадности.
@AbakBarama помог распаковать, спасибо ему большое. Дальше буду бороться с лицензией. @DartPhoenix если есть спортивный интерес, могу скинуть в лс З.Ы. реверс инженеры это конечно отдельная каста, в хорошем смысле слова.
Приветствую! Пытаюсь отреверсить либу на golang. Застрял на одном месте. Имеется вот какой код. Тут вызывается функция func NewCFBEncrypter(block Block, iv []byte) Stream Из модуля crypto.cipher По моим исследованиям csff1EEBF40 указывает это второй аргумент функции iv []byte. Мне нужно найти место где инициализируется эта переменная чтобы понять понять, что там написано. Я думаю что csff1EEBF40 является глобально инициализированной переменной в модуле вне функций. Если пойти по этому адресу то попадаем сюда off_1EEBF40 инициализирована другим адресом который находится в секции .noptrdata Думаю адрес unk_1E14750 видимо является типом, так как длина массива iv должна быть 32, а тут их всего 13. То есть данные ниже qword_1EEBF.. не инициализированы. Искал ссылки на эти адреса но нигде, кроме этого места где они напрямую используется, никаких других ссылок не нашел. Функция init модуля отсутствует. Помогите пожалуйста найти место где хранятся реальные данные и для чего нужна секция .noptrdata
