Цитата:
Сообщение от Breadfan
ммм екзешник и длл-ки в л2 упакованы Themida ... если у тебя получается снимать РАБОЧИЙ (aka Осмысленный, а не команды для VM)
|
Я начал копать эту тему только сегодня. Бегло поглядев на исходники inject.dll я вроде как понял, что эта либа находит в памяти обращение к API шной ф-ции connect и переставляет его на вызов себя. Я конечно могу ошибаться. Так что мне кажется, что в момент вызова send или recv код отвечающий за "шифрование" уже загружен в память и должен быть "виден" в каком-нибудь отладчике. Повторю еще раз это мои гипотезы. Видимо ты более сведущ в этих вопросах. С удовольствие выслушаю твои соображения.
P.S. Админы ведь как-то меняют стандартную шифрацию? Не думаю, чтобы у них был исходный код клиента.