Msg : Prev 1695 / 4681 Next -1690 +1697
From: Reminder
1996-12-11 01:19:40

To  : Igor Pavin

Subj:

нечто ;))


Привет Igor! 

Смотрю я значит на дисплей, а там - Пят Дек 06 1996 17:29, 
Igor Pavin пишет к Reminder, во- думаю, дай чего-нить скажу: 

IP> Левые пеpеходы это как в OneHalf'е [куча пятен декpиптоpа по телу 
IP> заpаженного файла, связанных джампами]? IMHO, это самое интеpесное. 
IP> :) Это ж самый pулеzzzzzz! :) А левые пpоцедуpы - аналогично? 

простейший вариант: 

левый переход на a1 
незначащий мусор 
a1: 

с процедурами: (енто как в SMEG'e) 

call a1 
мусор 
jmp a2 
a1: мусор 
ret 
a2: 

в построение мусора можно вставлять значащий код, в порядке исполнения. 

еще один вариант (мой): 

посторение (начальное) делается так: 

условный переход (любой) на a2 
a1: mov al,1 
jmp на продолжение построения кода 
a2: mov al,1 
jmp на продолжение построения кода. 

потом управление передается на начало всей этой нашей хреновины 
(имеется ввиду начало полиморфного декриптора) 
( хреновина не содержит записей в память (пока)) 

продолжение построения кода: 
ежели al=1 то можно переход сделать назад по коду или такой вариант 
построить: 

переход по условию на a2 (заведомо не сработает) 
мусор 
jmp a3 
a2: 
мусор и сбивание действующих регистров. 
jmp куда-нибудь подальше 
a3: 

а ежели al=2 то можно вот что построить: 

переход по условию на a2 (сработает) 
мусор и сбивание действующих регистров. 
jmp далеко 
a2: 

чего мы этим добьемся ? добьемся мы этим того, что анализом кода, 
а не исполнием (эмуляуией) ничего никто не добьется. :))) 
а насчет опустить куда подальше эмуляторы про это будет следующая 
статья. (или уже было ;)) ) 

p.S. Sorry за отрывчатость, но я думаю кому надо тот поймет. ;) 

С бестовыми регардами , Kostya Volkov aka Reminder 

.' [SGWW] [DVC] [Crematorium fans Team] [MK Team] `. 

--- 
* Origin: Kostya Volkov aka Reminder (2:4631/17) 
VX Heavens - коллекция вирусов,исходников и статей.
Длинный список? Alt + Home - в начало, Alt + End - в конец
Пользовательского поиска