Такая ситуация, есть ЕХЕ, скажем это сокс бот. Задача: разобрать ехе, найти там ссылку (какая именно ссылка я знаю!) и поменять эту ссылку на другую ссылку, сохранить новый ехе. На чем написана программа, чем упакована, мне не известно. Напишите по пунктам что нужно сделать, желательно с названиями программ. Благодарю. Ссылка d00m-local-ip.cc/ref/gate.php ЕХЕ http://www.sendspace.com/file/etg7uu Как найти эту ссылку и поменять на свою? Спасибо
Там совсем не понятно все написано...более конкретно + я думаю файл сжат и закриптован (возможно, но врядли)
24online24,партнер - обоим устное предупреждение. ТС, либо выкладывай жертву, либо не разводи флуд. Если сабж не появится, топик удаляю.
Открыл ЕХЕ этой программой, не в режиме TEXT, HEX, и даже DECODE все равно нет там нечего похожего на ссылку, смотрел вдоль и поперек)
Нащяльника, программа упакована, не умеешь распаковывать - читай статьи. Также есть мнение, что после распаковки она сбрасывает свой "распакованный" вариант в Temp директорию. В этом варианте кое-что видно, но ссылка, которая тебе нужна все равно зашифрована. Зашифрована вроде довольно банально. Короче читай мануалы на краклабе, тутсах и подобных ресурсах.
Программа не упакована,это дроппер-лоадер для внедрения динамической библиотеки в процесс svchost.exe.Кидает в теп дир файлик 7.tmp,который и является дллкой,затем инжектит шелл код в процесс svchost,для загрузки онной.Используется техника приведённая в этой статье https://xakepy.cc/showthread.php?t=59142 В самой библиотеке строки пошифрованы,апи функции вызываются динамически,тоже самое и в дроппере. Так что ссылку просто так ты не поменяеш....
Ну так если ты знаешь ссылку, то просто строчку в hosts пропиши... Как, я понимаю, там через WinHex не найти ссылку...
