{"id":484877,"date":"2026-06-24T14:47:05","date_gmt":"2026-06-24T14:47:05","guid":{"rendered":"https:\/\/savepearlharbor.com\/?p=484877"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=484877","title":{"rendered":"\u041a\u0430\u043a \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c .exe \u0432\u0441\u0435\u0433\u043e \u0434\u0432\u0443\u043c\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438: \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0440\u0430\u0437\u0431\u043e\u0440 \u0441 DeNuitkanizator \u0438 HxD"},"content":{"rendered":"
\n

\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442!<\/strong><\/p>\n

\u042f \u0440\u0435\u0448\u0438\u043b \u0441\u043d\u043e\u0432\u0430 \u0437\u0430\u0439\u0442\u0438 \u0432 \u0440\u0435\u0432\u0435\u0440\u0441-\u0438\u043d\u0436\u0438\u043d\u0438\u0440\u0438\u043d\u0433 \u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u0434\u0430\u043d\u043d\u0443\u044e \u0441\u0442\u0430\u0442\u044c\u044e.
\u041c\u043d\u043e\u0433\u0438\u0435 \u0440\u0435\u0432\u0435\u0440\u0441-\u0438\u043d\u0436\u0435\u043d\u0435\u0440\u044b \u0438 \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u043d\u0433\u0430: Ghidra, IDA PRO, x64dbg, Cremniy, HxD.<\/strong><\/p>\n

\u0418 \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f \u044d\u0442\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043e\u0442\u043b\u0438\u0447\u043d\u043e \u0441\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0441\u043e \u0441\u0432\u043e\u0438\u043c\u0438 \u0437\u0430\u0434\u0430\u0447\u0430\u043c\u0438. \u041d\u043e \u044f \u0440\u0435\u0448\u0438\u043b \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u044d\u043a\u0441\u043f\u0435\u0440\u0438\u043c\u0435\u043d\u0442: \u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0442\u043e\u043b\u044c\u043a\u043e DeNuitkanizator \u0438 HxD. <\/strong><\/p>\n

\u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u0432\u0441\u0451 \u043e\u043f\u0438\u0448\u0443 \u0438 \u0432 \u0432\u044b\u0432\u043e\u0434\u0435 \u0431\u0443\u0434\u0435\u0442 \u0441\u043a\u0430\u0437\u0430\u043d\u043e, \u0447\u0442\u043e \u0432\u044b\u0448\u043b\u043e, \u0430 \u0447\u0442\u043e \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c.<\/p>\n

\"\u041e\u0431\u043b\u043e\u0436\u043a\u0430\"<\/p>\n
\u041e\u0431\u043b\u043e\u0436\u043a\u0430<\/figcaption><\/div>\n<\/figure>\n

\u0427\u0442\u043e \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0438\u0437 \u0441\u0435\u0431\u044f DeNuitkanizator \u0438 HxD?<\/h3>\n

DeNuitkanizator<\/strong> — \u0430\u043d\u0430\u043b\u0438\u0437\u0430\u0442\u043e\u0440 Nuitka-\u0441\u0431\u043e\u0440\u043e\u043a (\u0430 \u0442\u0430\u043a\u0436\u0435 PyInstaller \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0443\u043f\u0430\u043a\u043e\u0432\u0449\u0438\u043a\u0438) \u0434\u043b\u044f \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0445, \u0441\u0442\u0440\u043e\u043a, \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0438 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0438\u0437 \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 .exe \u0444\u0430\u0439\u043b\u043e\u0432.
\u0417\u0430\u0442\u0435\u043c \u0432\u0441\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u044b\u0432\u043e\u0434\u0438\u0442 \u0432 \u043f\u0430\u043f\u043a\u0443 DeNuitkanizator_Output.<\/p>\n

\u041d\u043e \u0443 \u0434\u0430\u043d\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043f\u043e\u044f\u0432\u0438\u043b\u0430\u0441\u044c \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f: Asm-To-C.<\/strong> \u041e\u043d\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442\u044c \u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440\u043d\u044b\u0439 \u043a\u043e\u0434 (x86\/x64) \u0432 \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 C-\u043a\u043e\u0434.<\/strong> \u041e\u0441\u043d\u043e\u0432\u0430\u043d\u0430 \u043d\u0430 \u043f\u043e\u0441\u0442\u0440\u043e\u0447\u043d\u043e\u043c \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0439. \u042f \u0432\u0434\u043e\u0445\u043d\u043e\u0432\u0438\u043b\u0441\u044f \u0434\u0430\u043d\u043d\u043e\u0439 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0443 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u043d\u0430 Github cisol<\/strong><\/a><\/p>\n

\"\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441<\/p>\n
\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b<\/figcaption><\/div>\n<\/figure>\n

HxD — \u0431\u044b\u0441\u0442\u0440\u044b\u0439 \u0438 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u044b\u0439 HEX-\u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440.<\/strong> \u041e\u043d\u0430 \u0443\u043c\u0435\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0431\u043e\u043b\u044c\u0448\u0438\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438. \u0414\u0430\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u0441\u044f \u0438 \u0434\u043b\u044f \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u044f .bin \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 HEX-\u0444\u043e\u0440\u043c\u0430\u0442\u0435.<\/p>\n

\"\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441<\/p>\n
\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b<\/figcaption><\/div>\n<\/figure>\n

\u0427\u0442\u043e \u0431\u0443\u0434\u0435\u043c \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c?<\/h3>\n

\u041d\u0430 \u0440\u0430\u0437\u0431\u043e\u0440\u0435 \u0443 \u043d\u0430\u0441 \u0431\u0443\u0434\u0435\u0442 \u0434\u0432\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b<\/p>\n

hello.exe<\/strong> (3,65 \u041c\u0411) — \u0441\u0434\u0435\u043b\u0430\u043d \u0432 exe-\u0444\u0430\u0439\u043b \u0447\u0435\u0440\u0435\u0437 Nuitka<\/p>\n

\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b:<\/p>\n

print(\"Hello by 2M12\")input()<\/code>
<\/a><\/div><\/pre>\n
\"\u0412\u044b\u0432\u043e\u0434<\/p>\n
\u0412\u044b\u0432\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b<\/figcaption><\/div>\n<\/figure>\n
AnyDesk.exe (3,81 \u041c\u0411) — \u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0439 exe-\u0444\u0430\u0439\u043b. \u0412\u0435\u0440\u0441\u0438\u044f 7.1.6.0<\/p>\n
\"\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441<\/p>\n
\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b<\/figcaption><\/div>\n<\/figure>\n
\u0420\u0430\u0437\u0431\u043e\u0440 Hello.exe<\/h3>\n
\u0414\u043b\u044f \u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u043a\u0438\u043d\u0443\u0442\u044c \u043d\u0430\u0448 exe-\u0444\u0430\u0439\u043b \u0432 DeNuitkanizator.<\/p>\n
\u0417\u0430\u0442\u0435\u043c \u043f\u043e\u0441\u043b\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043f\u0430\u043f\u043a\u0438 \u0438 \u0434\u0432\u0430 \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u0445 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n
\"\u0412\u043e\u0442<\/p>\n
\u0412\u043e\u0442 \u0447\u0442\u043e \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438<\/figcaption><\/div>\n<\/figure>\n
\u0422\u0435\u043f\u0435\u0440\u044c \u043d\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c HxD \u0438 \u043f\u0435\u0440\u0435\u0439\u0442\u0438 \u043f\u043e \u044d\u0442\u043e\u043c\u0443 \u043f\u0443\u0442\u0438 DeNuitkanizator_Output\\hello_20260624_100536\\Dumps\\sections<\/strong> — \u043f\u0443\u0442\u044c \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043b\u0438\u0447\u0430\u0442\u044c\u0441\u044f<\/p>\n
\u0418 \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043e\u0442\u043a\u0440\u043e\u0435\u043c \u043d\u0430\u0448\u0443 .rsrc \u0441\u0435\u043a\u0446\u0438\u044e<\/p>\n
\"\u0412\u043e\u0442<\/p>\n
\u0412\u043e\u0442 \u0432\u0441\u0435 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0441\u0435\u043a\u0446\u0438\u0438<\/figcaption><\/div>\n<\/figure>\n
\u041e\u0431\u044b\u0447\u043d\u043e, \u043a\u043e\u0433\u0434\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f onefile \u0440\u0435\u0436\u0438\u043c, \u0442\u043e \u0442\u043e\u0433\u0434\u0430 DeNuitkanizator \u043e\u0431\u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u044d\u043d\u0442\u0440\u043e\u043f\u0438\u044e \u0432 8.0 \u0438\u0437 8.0<\/strong>. \u0412\u0441\u0451 \u0434\u0435\u043b\u043e \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0442\u0430\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0441\u0436\u0430\u0442\u0438\u044f zstd (ZStandard)<\/strong>, \u0438 \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0442\u0430\u043a \u0438 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442.<\/p>\n
\u041d\u043e \u0443 \u043d\u0430\u0441 hello.exe \u0431\u044b\u043b \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 Standalone, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0445\u043e\u0440\u043e\u0448\u043e \u043f\u043e\u0438\u0441\u043a\u0430\u0432 \u0432 HxD \u043c\u044b \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u043d\u0430\u0448\u0443 \u0441\u0442\u0440\u043e\u043a\u0443:<\/p>\n
\"\u041d\u0430\u0448\u043b\u0438<\/p>\n
\u041d\u0430\u0448\u043b\u0438 \u0442\u0443 \u0441\u0430\u043c\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 \u0438\u0437 print<\/figcaption><\/div>\n<\/figure>\n
\u041d\u0443 \u0438 \u043f\u043e\u043c\u0438\u043c\u043e \u043d\u0430\u0448\u0435\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u0435\u0441\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 print<\/p>\n
\"\u0427\u0442\u043e<\/p>\n
\u0427\u0442\u043e \u0435\u0449\u0451 \u0435\u0441\u0442\u044c<\/figcaption><\/div>\n<\/figure>\n
\u0422\u0430\u043a\u0436\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e DeNuitkanizator \u043c\u044b \u043d\u0430\u0448\u043b\u0438 \u0437\u0430\u043c\u043e\u0440\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u043c\u043e\u0434\u0443\u043b\u0438, pe_header, \u0438 \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 (\u0432 C-\u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0435 \u0438 \u043f\u0440\u043e\u0441\u0442\u043e ASM).<\/p>\n
\u041d\u0438\u0436\u0435 \u0431\u0443\u0434\u0443\u0442 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u044b \u043e\u0442\u0440\u044b\u0432\u043a\u0438 \u0438\u0437 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430:<\/p>\n
C-\u043f\u0435\u0440\u0435\u0432\u043e\u0434 (\u043f\u0435\u0440\u0432\u044b\u0435 40 \u0441\u0442\u0440\u043e\u043a):<\/p>\n
#include \"environment.h\"void func() {_0x140001000:    MEMORY(uint64_t, rsp+8) = rbx; \/* mov qword ptr [rsp + 8], rbx *\/    MEMORY(uint64_t, rsp+16) = rsi; \/* mov qword ptr [rsp + 0x10], rsi *\/    PUSH64(rdi); \/* push rdi *\/    TMP64(rsp, -, 0x30); SET_ZF(64); SET_CF_SUB(rsp, 0x30); SET_AF_0(rsp, 0x30); SET_OF_SUB(rsp, 0x30, 64, 0x8000000000000000); SET_SF(64); SET_PF(); rsp = tmp64; \/* sub rsp, 0x30 *\/    rdi = rcx; \/* mov rdi, rcx *\/    rcx = (uint64_t)&MEMORY(uint64_t, rip+150047); \/* lea rcx, [rip + 0x24a1f] *\/    \/* call qword ptr [rip + 0x24941] *\/    r8 = (uint64_t)&MEMORY(uint64_t, rip+150026); \/* lea r8, [rip + 0x24a0a] *\/    rcx = rdi; \/* mov rcx, rdi *\/    rdx = (uint64_t)&MEMORY(uint64_t, rip+226032); \/* lea rdx, [rip + 0x372f0] *\/    MEMORY(uint64_t, rip+226017) = rax; \/* mov qword ptr [rip + 0x372e1], rax *\/    \/* call 0x14001d820 *\/ PUSH64((uint64_t)&&_ret_140001037); goto _0x14001d820; _ret_140001037:;    rbx = MEMORY(uint64_t, rip+230341); \/* mov rbx, qword ptr [rip + 0x383c5] *\/    rsi = MEMORY(uint64_t, rip+226862); \/* mov rsi, qword ptr [rip + 0x3762e] *\/    tmp64 = rbx & rbx; SET_ZF(64); SET_SF(64); SET_PF(); cf = 0; of = 0; \/* test rbx, rbx *\/    if(!zf) goto _0x140001080; \/* jne 0x140001080 *\/    ecx ^= ecx; SET_ZF(32); SET_SF(32); SET_PF(); cf = 0; of = 0; \/* xor ecx, ecx *\/    \/* call 0x140015340 *\/ PUSH64((uint64_t)&&_ret_140001051); goto _0x140015340; _ret_140001051:;    rdx = -1; \/* mov rdx, -1 *\/    rcx = rax; \/* mov rcx, rax *\/    \/* call qword ptr [rip + 0x246fa] *\/    MEMORY(uint64_t, rip+230299) = rax; \/* mov qword ptr [rip + 0x3839b], rax *\/    tmp64 = rax & rax; SET_ZF(64); SET_SF(64); SET_PF(); cf = 0; of = 0; \/* test rax, rax *\/    if(zf) goto _0x14000117f; \/* je 0x14000117f *\/    TMP64(MEMORY(uint64_t, rax), +, 1); SET_ZF(64); SET_AF_INC(64); SET_OF_INC_DEC_NEG(64, 0x8000000000000000); SET_SF(64); SET_PF(); MEMORY(uint64_t, rax) = tmp64; \/* inc qword ptr [rax] *\/    rbx = MEMORY(uint64_t, rip+230280); \/* mov rbx, qword ptr [rip + 0x38388] *\/_0x140001080:    TMP64(rbx, -, MEMORY(uint64_t, rip+226017)); SET_ZF(64); SET_CF_SUB(rbx, MEMORY(uint64_t, rip+226017)); SET_AF_0(rbx, MEMORY(uint64_t, rip+226017)); SET_OF_SUB(rbx, MEMORY(uint64_t, rip+226017), 64, 0x8000000000000000); SET_SF(64); SET_PF(); \/* cmp rbx, qword ptr [rip + 0x372e1] *\/    if(zf) goto _0x1400010b8; \/* je 0x1400010b8 *\/    rax = MEMORY(uint64_t, rip+230408); \/* mov rax, qword ptr [rip + 0x38408] *\/    tmp64 = rax & rax; SET_ZF(64); SET_SF(64); SET_PF(); cf = 0; of = 0; \/* test rax, rax *\/    if(!zf) goto _0x1400010a9; \/* jne 0x1400010a9 *\/    rcx = (uint64_t)&MEMORY(uint64_t, rip+166044); \/* lea rcx, [rip + 0x2889c] *\/    \/* call qword ptr [rip + 0x24876] *\/    MEMORY(uint64_t, rip+230383) = rax; \/* mov qword ptr [rip + 0x383ef], rax *\/_0x1400010a9:<\/code>
<\/a><\/div><\/pre>\n
\u0412\u0441\u0451, \u0447\u0442\u043e \u0437\u0430\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043e — \u043d\u0435\u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0435 \u043f\u043e\u043a\u0430 \u043c\u043d\u0435\u043c\u043e\u043d\u0438\u043a\u0438.<\/p>\n
\u0410\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440 (\u043f\u0435\u0440\u0432\u044b\u0435 40 \u0441\u0442\u0440\u043e\u043a):<\/p>\n
0x140001000: mov      qword ptr [rsp + 8], rbx       0x140001005: mov      qword ptr [rsp + 0x10], rsi    0x14000100a: push     rdi                            0x14000100b: sub      rsp, 0x30                      0x14000100f: mov      rdi, rcx                       0x140001012: lea      rcx, [rip + 0x24a1f]           0x140001019: call     qword ptr [rip + 0x24941]      [CALL]0x14000101f: lea      r8, [rip + 0x24a0a]            0x140001026: mov      rcx, rdi                       0x140001029: lea      rdx, [rip + 0x372f0]           0x140001030: mov      qword ptr [rip + 0x372e1], rax 0x140001037: call     0x14001d820                    [CALL]0x14000103c: mov      rbx, qword ptr [rip + 0x383c5] 0x140001043: mov      rsi, qword ptr [rip + 0x3762e] 0x14000104a: test     rbx, rbx                       0x14000104d: jne      0x140001080                    [JMP]0x14000104f: xor      ecx, ecx                       0x140001051: call     0x140015340                    [CALL]0x140001056: mov      rdx, -1                        0x14000105d: mov      rcx, rax                       0x140001060: call     qword ptr [rip + 0x246fa]      [CALL]0x140001066: mov      qword ptr [rip + 0x3839b], rax 0x14000106d: test     rax, rax                       0x140001070: je       0x14000117f                    [JMP]0x140001076: inc      qword ptr [rax]                0x140001079: mov      rbx, qword ptr [rip + 0x38388] 0x140001080: cmp      rbx, qword ptr [rip + 0x372e1] 0x140001087: je       0x1400010b8                    [JMP]0x140001089: mov      rax, qword ptr [rip + 0x38408] 0x140001090: test     rax, rax                       0x140001093: jne      0x1400010a9                    [JMP]0x140001095: lea      rcx, [rip + 0x2889c]           0x14000109c: call     qword ptr [rip + 0x24876]      [CALL]0x1400010a2: mov      qword ptr [rip + 0x383ef], rax 0x1400010a9: mov      rdx, rax                       0x1400010ac: mov      rcx, rbx                       0x1400010af: call     qword ptr [rip + 0x24613]      [CALL]0x1400010b5: mov      rbx, rax                       0x1400010b8: mov      rdx, rsi                       0x1400010bb: mov      rcx, rbx<\/code>
<\/a><\/div><\/pre>\n
\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u0442\u0435 \u0432\u0441\u0451 \u0431\u044b\u043b\u043e \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Capstone + Asm-To-C. \u041d\u043e \u0432\u0430\u0436\u043d\u043e \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u0442\u044c, \u0447\u0442\u043e \u0432\u0441\u0451 \u0440\u0430\u0432\u043d\u043e \u043d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u0441\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043c\u0443\u0441\u043e\u0440 (\u0434\u0430 \u043e\u043d \u0435\u0441\u0442\u044c, \u0432\u0435\u0434\u044c Capstone — \u043d\u0435 \u0440\u0435\u043a\u0443\u0440\u0441\u0438\u0432\u043d\u044b\u0439 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440, \u043f\u043e\u043a\u0430 \u0447\u0442\u043e).<\/p>\n
\u0410 \u0432\u043e\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u043e \u0441\u0435\u043a\u0446\u0438\u044f\u043c:<\/p>\n
.data: VA=0x00032000 RawSize=24,064 VirtSize=31,840 Entropy=2.21\/8.0 Rights=0xc0000040 .pdata: VA=0x0003a000 RawSize=8,192 VirtSize=7,920 Entropy=5.20\/8.0 Rights=0x40000040 .rdata: VA=0x00025000 RawSize=52,736 VirtSize=52,594 Entropy=6.16\/8.0 Rights=0x40000040 .reloc: VA=0x004b6000 RawSize=2,048 VirtSize=1,860 Entropy=5.19\/8.0 Rights=0x42000040 .rsrc: VA=0x0003c000 RawSize=4,692,480 VirtSize=4,692,412 Entropy=5.55\/8.0 Rights=0x40000040 .text: VA=0x00001000 RawSize=146,432 VirtSize=146,284 Entropy=6.15\/8.0 Rights=0x60000020 EXEC<\/code>
<\/a><\/div><\/pre>\n
\u0410 \u0435\u0449\u0451 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 pe_headers.txt. \u0422\u0430\u043c \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u044f \u0432\u0435\u0440\u0441\u0438\u0438 python:<\/p>\n
----------Imported symbols----------[IMAGE_IMPORT_DESCRIPTOR]0x2EB10    0x0   OriginalFirstThunk:            0x2FEC8   0x2EB10    0x0   Characteristics:               0x2FEC8   0x2EB14    0x4   TimeDateStamp:                 0x0        [Thu Jan  1 00:00:00 1970 UTC]0x2EB18    0x8   ForwarderChain:                0x0       0x2EB1C    0xC   Name:                          0x3168E   0x2EB20    0x10  FirstThunk:                    0x252D8   python311.dll.PyImport_ImportFrozenModule Hint[406]python311.dll.PyErr_ExceptionMatches Hint[180]python311.dll._PyErr_FormatFromCause Hint[1172]python311.dll.PyObject_GC_Del Hint[622]python311.dll.PyObject_CallFunctionObjArgs Hint[606]python311.dll.PyLong_AsLong Hint[447]python311.dll.PyObject_ClearWeakRefs Hint[615]python311.dll.PyCode_Type Hint[84]python311.dll.PyUnicode_AsUTF8 Hint[890]python311.dll.PyUnicode_AsWideCharString Hint[897]python311.dll.PyUnicode_FromFormat Hint[936]<\/code>
<\/a><\/div><\/pre>\n
\u0420\u0430\u0437\u0431\u043e\u0440 AnyDesk.exe<\/h3>\n
\u0422\u0435\u043f\u0435\u0440\u044c \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043a\u0438\u043d\u0435\u043c \u0444\u0430\u0439\u043b \u0432 \u043d\u0430\u0448 DeNuitkanizator \u0438 \u043f\u043e\u0434\u043e\u0436\u0434\u0451\u043c \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430<\/p>\n
\u041f\u0435\u0440\u0435\u0439\u0434\u0451\u043c \u043f\u043e \u043f\u0443\u0442\u0438 DeNuitkanizator_Output\\AnyDesk_20260624_160750\\Dumps<\/strong><\/p>\n
\"\u041f\u0443\u0442\u044c<\/p>\n
\u041f\u0443\u0442\u044c \u0433\u0434\u0435 Overlay<\/figcaption><\/div>\n<\/figure>\n
\u0418 \u0442\u0435\u043f\u0435\u0440\u044c \u043e\u0442\u043a\u0440\u043e\u0435\u043c overlay.bin <\/strong>\u0447\u0435\u0440\u0435\u0437 HxD.<\/strong><\/p>\n
\"\u0412\u0438\u0434\u043d\u043e<\/p>\n
\u0412\u0438\u0434\u043d\u043e \u0447\u044c\u044f \u0446\u0438\u0444\u0440\u043e\u0432\u0430\u044f \u043f\u043e\u0434\u043f\u0438\u0441\u044c<\/figcaption><\/div>\n<\/figure>\n
\u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043f\u043e\u0434\u043f\u0438\u0441\u044c \u0441\u0434\u0435\u043b\u0430\u043d\u0430 DigiCert <\/abbr>. \u0422\u043e \u0435\u0441\u0442\u044c \u043e\u0434\u0438\u043d \u0438\u0437 \u043a\u0440\u0443\u043f\u043d\u0435\u0439\u0448\u0438\u0445 \u0446\u0435\u043d\u0442\u0440\u043e\u0432 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438.<\/p>\n
\u0410 \u0435\u0449\u0451 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e (\u0432\u0438\u0434\u0438\u043c\u043e \u0434\u043b\u044f \u043f\u043e\u0434\u043f\u0438\u0441\u0438) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f RSA-4096 + SHA-384<\/strong><\/p>\n
\"RSA-4096<\/p>\n
RSA-4096 + SHA-384<\/figcaption><\/div>\n<\/figure>\n
\u041e\u0442\u043a\u0440\u043e\u0435\u043c \u0442\u0435\u043f\u0435\u0440\u044c DeNuitkanizator_Output\\AnyDesk_20260624_160750\\Strings\\all_utf8.txt<\/strong><\/p>\n
\"\u0417\u0430\u043c\u0435\u0442\u0438\u043b\u0438<\/p>\n
\u0417\u0430\u043c\u0435\u0442\u0438\u043b\u0438 Buildbot<\/figcaption><\/div>\n<\/figure>\n
\u0417\u0430\u043c\u0435\u0442\u0438\u043c \u0441\u0438\u0441\u0442\u0435\u043c\u0443 CI\/CD\u00a0Buildbot<\/strong>. \u0418 \u043e\u043d \u043a\u0441\u0442\u0430\u0442\u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 Python\ud83d\ude09
\u042f \u0441\u043b\u044b\u0448\u0430\u043b \u0435\u0433\u043e \u0447\u0430\u0441\u0442\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u0432 \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u0431\u043e\u0440\u043a\u0430\u0445 \u0438\u0437-\u0437\u0430 \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u0438.<\/p>\n
\u0410 \u0442\u0430\u043a\u0436\u0435 \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0438 pe_headers.txt (\u043f\u0435\u0440\u0432\u044b\u0435 39 \u0441\u0442\u0440\u043e\u043a):<\/strong><\/p>\n
----------DOS_HEADER----------[IMAGE_DOS_HEADER]0x0        0x0   e_magic:                       0x5A4D    0x2        0x2   e_cblp:                        0x90      0x4        0x4   e_cp:                          0x3       0x6        0x6   e_crlc:                        0x0       0x8        0x8   e_cparhdr:                     0x4       0xA        0xA   e_minalloc:                    0x0       0xC        0xC   e_maxalloc:                    0xFFFF    0xE        0xE   e_ss:                          0x0       0x10       0x10  e_sp:                          0xB8      0x12       0x12  e_csum:                        0x0       0x14       0x14  e_ip:                          0x0       0x16       0x16  e_cs:                          0x0       0x18       0x18  e_lfarlc:                      0x40      0x1A       0x1A  e_ovno:                        0x0       0x1C       0x1C  e_res:                         0x24       0x24  e_oemid:                       0x0       0x26       0x26  e_oeminfo:                     0x0       0x28       0x28  e_res2:                        0x3C       0x3C  e_lfanew:                      0xD0      ----------NT_HEADERS----------[IMAGE_NT_HEADERS]0xD0       0x0   Signature:                     0x4550    ----------FILE_HEADER----------[IMAGE_FILE_HEADER]0xD4       0x0   Machine:                       0x14C     0xD6       0x2   NumberOfSections:              0x6       0xD8       0x4   TimeDateStamp:                 0x634E8DEE [Tue Oct 18 11:28:46 2022 UTC]0xDC       0x8   PointerToSymbolTable:          0x0       0xE0       0xC   NumberOfSymbols:               0x0       0xE4       0x10  SizeOfOptionalHeader:          0xE0      0xE6       0x12  Characteristics:               0x122     Flags: IMAGE_FILE_32BIT_MACHINE, IMAGE_FILE_EXECUTABLE_IMAGE, IMAGE_FILE_LARGE_ADDRESS_AWARE<\/code>
<\/a><\/div><\/pre>\n
PE Headers \u0441\u043b\u0443\u0436\u0438\u0442 «\u043f\u0430\u0441\u043f\u043e\u0440\u0442\u043e\u043c» \u0434\u043b\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c, \u0438 \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442 Windows \u043a\u0430\u043a \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443. \u0414\u0430\u043d\u043d\u044b\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 pefile.<\/p>\n
\u0410 \u0432\u043e\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u043e \u0441\u0435\u043a\u0446\u0438\u044f\u043c:<\/strong><\/p>\n
.data: VA=0x00c8e000 RawSize=3,949,056 VirtSize=3,949,964 Entropy=8.00\/8.0 Rights=0xc0000040 .itext: VA=0x00004000 RawSize=0 VirtSize=13,142,528 Entropy=0.00\/8.0 Rights=0xc0000080 .rdata: VA=0x00c8d000 RawSize=1,024 VirtSize=762 Entropy=5.64\/8.0 Rights=0x40000040 .reloc: VA=0x01058000 RawSize=1,024 VirtSize=768 Entropy=1.18\/8.0 Rights=0x42000040 .rsrc: VA=0x01053000 RawSize=18,944 VirtSize=18,512 Entropy=6.02\/8.0 Rights=0x40000040 .text: VA=0x00001000 RawSize=10,752 VirtSize=10,293 Entropy=6.51\/8.0 Rights=0x60000020 EXEC<\/code>
<\/a><\/div><\/pre>\n
\n
\u0421\u043e\u0432\u0435\u0442!<\/p>\n
\u0415\u0441\u043b\u0438 \u0432\u044b \u0432\u0438\u0434\u0438\u0442\u0435 \u0432 entropy.txt, \u0447\u0442\u043e \u0443 \u043a\u0430\u043a\u043e\u0439-\u043b\u0438\u0431\u043e \u0441\u0435\u043a\u0446\u0438\u0438 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u043d\u0430\u044f \u044d\u043d\u0442\u0440\u043e\u043f\u0438\u044f (8.0 \u0441\u0430\u043c\u0430\u044f \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u0430\u044f) — \u0442\u043e \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u0444\u0430\u0439\u043b\u044b \u0431\u044b\u043b\u0438 \u0441\u0436\u0430\u0442\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 gzip).<\/p>\n<\/blockquote>\n
\"\u041f\u0440\u0438\u043c\u0435\u0440<\/p>\n
\u041f\u0440\u0438\u043c\u0435\u0440 \u044d\u043d\u0442\u0440\u043e\u043f\u0438\u0439 \u0441\u0435\u043a\u0446\u0438\u0439 \u0443 AnyDesk<\/figcaption><\/div>\n<\/figure>\n
\u041d\u0438\u0436\u0435 \u0431\u0443\u0434\u0443\u0442 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u044b \u043e\u0442\u0440\u044b\u0432\u043a\u0438 \u0438\u0437 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430:<\/p>\n
C-\u043f\u0435\u0440\u0435\u0432\u043e\u0434 (\u043f\u0435\u0440\u0432\u044b\u0435 40 \u0441\u0442\u0440\u043e\u043a):<\/strong><\/p>\n
#include \"environment.h\"void func() {    PUSH64(ebp); \/* push ebp *\/    ebp = esp; \/* mov ebp, esp *\/    eax = MEMORY(uint32_t, ebp+8); \/* mov eax, dword ptr [ebp + 8] *\/    edx = MEMORY(uint32_t, ebp+16); \/* mov edx, dword ptr [ebp + 0x10] *\/    PUSH64(esi); \/* push esi *\/    esi = ecx; \/* mov esi, ecx *\/    ecx = MEMORY(uint32_t, ebp+12); \/* mov ecx, dword ptr [ebp + 0xc] *\/    MEMORY(uint32_t, esi) = eax; \/* mov dword ptr [esi], eax *\/    eax ^= eax; SET_ZF(32); SET_SF(32); SET_PF(); cf = 0; of = 0; \/* xor eax, eax *\/    PUSH64(edi); \/* push edi *\/    edi = MEMORY(uint32_t, ebp+24); \/* mov edi, dword ptr [ebp + 0x18] *\/    MEMORY(uint32_t, esi+8) = eax; \/* mov dword ptr [esi + 8], eax *\/    MEMORY(uint32_t, esi+20) = eax; \/* mov dword ptr [esi + 0x14], eax *\/    MEMORY(uint32_t, esi+24) = eax; \/* mov dword ptr [esi + 0x18], eax *\/    MEMORY(uint32_t, esi+28) = eax; \/* mov dword ptr [esi + 0x1c], eax *\/    MEMORY(uint32_t, esi+32) = eax; \/* mov dword ptr [esi + 0x20], eax *\/    MEMORY(uint32_t, esi+36) = eax; \/* mov dword ptr [esi + 0x24], eax *\/    MEMORY(uint32_t, esi+40) = eax; \/* mov dword ptr [esi + 0x28], eax *\/    MEMORY(uint32_t, esi+44) = eax; \/* mov dword ptr [esi + 0x2c], eax *\/    eax = (uint64_t)&MEMORY(uint32_t, ebp+8); \/* lea eax, [ebp + 8] *\/    PUSH64(eax); \/* push eax *\/    PUSH64(0x40); \/* push 0x40 *\/    PUSH64(MEMORY(uint32_t, ebp+28)); \/* push dword ptr [ebp + 0x1c] *\/    MEMORY(uint32_t, esi+12) = edx; \/* mov dword ptr [esi + 0xc], edx *\/    edx = MEMORY(uint32_t, ebp+20); \/* mov edx, dword ptr [ebp + 0x14] *\/    PUSH64(edi); \/* push edi *\/    MEMORY(uint32_t, esi+4) = ecx; \/* mov dword ptr [esi + 4], ecx *\/    MEMORY(uint32_t, esi+16) = edx; \/* mov dword ptr [esi + 0x10], edx *\/    \/* call dword ptr [ecx + 0x18] *\/    tmp32 = eax & eax; SET_ZF(32); SET_SF(32); SET_PF(); cf = 0; of = 0; \/* test eax, eax *\/    if(!zf) goto _0x401058; \/* jne 0x401058 *\/    MEMORY(uint32_t, esi+8) = 9; \/* mov dword ptr [esi + 8], 9 *\/    goto _0x401131; \/* jmp 0x401131 *\/_0x401058:    PUSH64(ebx); \/* push ebx *\/    ebx = MEMORY(uint32_t, esi+16); \/* mov ebx, dword ptr [esi + 0x10] *\/    TMP32(ebx, -, 0x40); SET_ZF(32); SET_CF_SUB(ebx, 0x40); SET_AF_0(ebx, 0x40); SET_OF_SUB(ebx, 0x40, 32, 0x80000000); SET_SF(32); SET_PF(); \/* cmp ebx, 0x40 *\/<\/code>
<\/a><\/div><\/pre>\n
\u0412\u0441\u0451, \u0447\u0442\u043e \u0437\u0430\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043e — \u043d\u0435\u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0435 \u043f\u043e\u043a\u0430 \u043c\u043d\u0435\u043c\u043e\u043d\u0438\u043a\u0438.<\/p>\n
\u0410\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440 (\u043f\u0435\u0440\u0432\u044b\u0435 40 \u0441\u0442\u0440\u043e\u043a):<\/strong><\/p>\n
0x401000: push     ebp                            0x401001: mov      ebp, esp                       0x401003: mov      eax, dword ptr [ebp + 8]       0x401006: mov      edx, dword ptr [ebp + 0x10]    0x401009: push     esi                            0x40100a: mov      esi, ecx                       0x40100c: mov      ecx, dword ptr [ebp + 0xc]     0x40100f: mov      dword ptr [esi], eax           0x401011: xor      eax, eax                       0x401013: push     edi                            0x401014: mov      edi, dword ptr [ebp + 0x18]    0x401017: mov      dword ptr [esi + 8], eax       0x40101a: mov      dword ptr [esi + 0x14], eax    0x40101d: mov      dword ptr [esi + 0x18], eax    0x401020: mov      dword ptr [esi + 0x1c], eax    0x401023: mov      dword ptr [esi + 0x20], eax    0x401026: mov      dword ptr [esi + 0x24], eax    0x401029: mov      dword ptr [esi + 0x28], eax    0x40102c: mov      dword ptr [esi + 0x2c], eax    0x40102f: lea      eax, [ebp + 8]                 0x401032: push     eax                            0x401033: push     0x40                           0x401035: push     dword ptr [ebp + 0x1c]         0x401038: mov      dword ptr [esi + 0xc], edx     0x40103b: mov      edx, dword ptr [ebp + 0x14]    0x40103e: push     edi                            0x40103f: mov      dword ptr [esi + 4], ecx       0x401042: mov      dword ptr [esi + 0x10], edx    0x401045: call     dword ptr [ecx + 0x18]         [CALL]0x401048: test     eax, eax                       0x40104a: jne      0x401058                       [JMP]0x40104c: mov      dword ptr [esi + 8], 9         0x401053: jmp      0x401131                       [JMP]0x401058: push     ebx                            0x401059: mov      ebx, dword ptr [esi + 0x10]    0x40105c: cmp      ebx, 0x40                      0x40105f: jae      0x40106d                       0x401061: mov      dword ptr [esi + 8], 1         0x401068: jmp      0x401130                       [JMP]0x40106d: mov      eax, dword ptr [esi + 0xc]  <\/code>
<\/a><\/div><\/pre>\n
\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h3>\n
\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u0442\u0435, \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u0432\u0443\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432: DeNuitkanizator \u0438 HxD.<\/strong> \u041d\u043e \u0432\u0430\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u043e\u0434\u043d\u043e\u0433\u043e DeNuitkanizator’\u0430 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e!<\/strong><\/p>\n
\u0423 \u043d\u0430\u0441 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u0438\u0437\u0432\u043b\u0435\u0447\u044c \u0440\u0430\u0437\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0438\u0437 \u0441\u0435\u043a\u0446\u0438\u0439, \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a PE, \u043d\u0430\u0439\u0442\u0438 \u0441\u0442\u0440\u043e\u0447\u043a\u0443 \u0438\u0437 hello.exe.<\/p>\n
\u0412 \u043b\u044e\u0431\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u043e \u0431\u044b\u043b \u044d\u043a\u0441\u043f\u0435\u0440\u0438\u043c\u0435\u043d\u0442, \u0438 \u044f \u043d\u0430\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u044e DeNuitkanizator \u043a\u043e\u043c\u0431\u0438\u043d\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441 Ghidra, x64dbg, Cremniy \u0438\u043b\u0438 IDA PRO.<\/strong><\/p>\n\n
\u0421\u0442\u0430\u0442\u044c\u044f \u043f\u0440\u043e DeNuitkanizator<\/a><\/p>\n
\u041e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u0430\u0439\u0442 DeNuitkanizator<\/a><\/p>\n<\/div>\n
\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 https:\/\/habr.com\/ru\/articles\/1051484\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442!\u042f \u0440\u0435\u0448\u0438\u043b \u0441\u043d\u043e\u0432\u0430 \u0437\u0430\u0439\u0442\u0438 \u0432 \u0440\u0435\u0432\u0435\u0440\u0441-\u0438\u043d\u0436\u0438\u043d\u0438\u0440\u0438\u043d\u0433 \u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u0434\u0430\u043d\u043d\u0443\u044e \u0441\u0442\u0430\u0442\u044c\u044e.\u041c\u043d\u043e\u0433\u0438\u0435 \u0440\u0435\u0432\u0435\u0440\u0441-\u0438\u043d\u0436\u0435\u043d\u0435\u0440\u044b \u0438 \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u043d\u0433\u0430: Ghidra, IDA PRO, x64dbg, Cremniy, HxD.\u0418 \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f \u044d\u0442\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043e\u0442\u043b\u0438\u0447\u043d\u043e \u0441\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0441\u043e \u0441\u0432\u043e\u0438\u043c\u0438 \u0437\u0430\u0434\u0430\u0447\u0430\u043c\u0438. \u041d\u043e \u044f \u0440\u0435\u0448\u0438\u043b \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u044d\u043a\u0441\u043f\u0435\u0440\u0438\u043c\u0435\u043d\u0442: \u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0442\u043e\u043b\u044c\u043a\u043e DeNuitkanizator \u0438 HxD. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u0432\u0441\u0451 \u043e\u043f\u0438\u0448\u0443 \u0438 \u0432 \u0432\u044b\u0432\u043e\u0434\u0435 \u0431\u0443\u0434\u0435\u0442 \u0441\u043a\u0430\u0437\u0430\u043d\u043e, \u0447\u0442\u043e \u0432\u044b\u0448\u043b\u043e, \u0430 \u0447\u0442\u043e \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c.\u041e\u0431\u043b\u043e\u0436\u043a\u0430\u0427\u0442\u043e \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0438\u0437 \u0441\u0435\u0431\u044f DeNuitkanizator \u0438 HxD?DeNuitkanizator — \u0430\u043d\u0430\u043b\u0438\u0437\u0430\u0442\u043e\u0440 Nuitka-\u0441\u0431\u043e\u0440\u043e\u043a (\u0430 \u0442\u0430\u043a\u0436\u0435 PyInstaller \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0443\u043f\u0430\u043a\u043e\u0432\u0449\u0438\u043a\u0438) \u0434\u043b\u044f \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0445, \u0441\u0442\u0440\u043e\u043a, \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0438 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0438\u0437 \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 .exe \u0444\u0430\u0439\u043b\u043e\u0432. \u0417\u0430\u0442\u0435\u043c \u0432\u0441\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u044b\u0432\u043e\u0434\u0438\u0442 \u0432 \u043f\u0430\u043f\u043a\u0443 DeNuitkanizator_Output.\u041d\u043e \u0443 \u0434\u0430\u043d\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043f\u043e\u044f\u0432\u0438\u043b\u0430\u0441\u044c \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f: Asm-To-C. \u041e\u043d\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442\u044c \u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440\u043d\u044b\u0439 \u043a\u043e\u0434 (x86\/x64) \u0432 \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 C-\u043a\u043e\u0434. \u041e\u0441\u043d\u043e\u0432\u0430\u043d\u0430 \u043d\u0430 \u043f\u043e\u0441\u0442\u0440\u043e\u0447\u043d\u043e\u043c \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0439. \u042f \u0432\u0434\u043e\u0445\u043d\u043e\u0432\u0438\u043b\u0441\u044f \u0434\u0430\u043d\u043d\u043e\u0439 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0443 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u043d\u0430 Github cisol\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044bHxD — \u0431\u044b\u0441\u0442\u0440\u044b\u0439 \u0438 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u044b\u0439 HEX-\u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440. \u041e\u043d\u0430 \u0443\u043c\u0435\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0431\u043e\u043b\u044c\u0448\u0438\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438. \u0414\u0430\u043d\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u0441\u044f \u0438 \u0434\u043b\u044f \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u044f .bin \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 HEX-\u0444\u043e\u0440\u043c\u0430\u0442\u0435.\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\u0427\u0442\u043e \u0431\u0443\u0434\u0435\u043c \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c?\u041d\u0430 \u0440\u0430\u0437\u0431\u043e\u0440\u0435 \u0443 \u043d\u0430\u0441 \u0431\u0443\u0434\u0435\u0442 \u0434\u0432\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044bhello.exe (3,65 \u041c\u0411) — \u0441\u0434\u0435\u043b\u0430\u043d \u0432 exe-\u0444\u0430\u0439\u043b \u0447\u0435\u0440\u0435\u0437 Nuitka\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b:print(«Hello by 2M12»)input()\u0412\u044b\u0432\u043e\u0434 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044bAnyDesk.exe (3,81 \u041c\u0411) — \u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0439 exe-\u0444\u0430\u0439\u043b. \u0412\u0435\u0440\u0441\u0438\u044f 7.1.6.0\u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\u0420\u0430\u0437\u0431\u043e\u0440 Hello.exe\u0414\u043b\u044f \u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u043a\u0438\u043d\u0443\u0442\u044c \u043d\u0430\u0448 exe-\u0444\u0430\u0439\u043b \u0432 DeNuitkanizator.\u0417\u0430\u0442\u0435\u043c \u043f\u043e\u0441\u043b\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043f\u0430\u043f\u043a\u0438 \u0438 \u0434\u0432\u0430 \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u0445 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430.\u0412\u043e\u0442 \u0447\u0442\u043e \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438\u0422\u0435\u043f\u0435\u0440\u044c \u043d\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c HxD \u0438 \u043f\u0435\u0440\u0435\u0439\u0442\u0438 \u043f\u043e \u044d\u0442\u043e\u043c\u0443 \u043f\u0443\u0442\u0438 DeNuitkanizator_Output\\hello_20260624_100536\\Dumps\\sections — \u043f\u0443\u0442\u044c \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043b\u0438\u0447\u0430\u0442\u044c\u0441\u044f\u0418 \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u043e\u0442\u043a\u0440\u043e\u0435\u043c \u043d\u0430\u0448\u0443 .rsrc \u0441\u0435\u043a\u0446\u0438\u044e\u0412\u043e\u0442 \u0432\u0441\u0435 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0441\u0435\u043a\u0446\u0438\u0438\u041e\u0431\u044b\u0447\u043d\u043e, \u043a\u043e\u0433\u0434\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f onefile \u0440\u0435\u0436\u0438\u043c, \u0442\u043e \u0442\u043e\u0433\u0434\u0430 DeNuitkanizator \u043e\u0431\u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u044d\u043d\u0442\u0440\u043e\u043f\u0438\u044e \u0432 8.0 \u0438\u0437 8.0. \u0412\u0441\u0451 \u0434\u0435\u043b\u043e \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0442\u0430\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0441\u0436\u0430\u0442\u0438\u044f zstd (ZStandard), \u0438 \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0442\u0430\u043a \u0438 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442.\u041d\u043e \u0443 \u043d\u0430\u0441 hello.exe \u0431\u044b\u043b \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 Standalone, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0445\u043e\u0440\u043e\u0448\u043e \u043f\u043e\u0438\u0441\u043a\u0430\u0432 \u0432 HxD \u043c\u044b \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u043d\u0430\u0448\u0443 \u0441\u0442\u0440\u043e\u043a\u0443:\u041d\u0430\u0448\u043b\u0438 \u0442\u0443 \u0441\u0430\u043c\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 \u0438\u0437 print\u041d\u0443 \u0438 \u043f\u043e\u043c\u0438\u043c\u043e \u043d\u0430\u0448\u0435\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u0435\u0441\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 print\u0427\u0442\u043e \u0435\u0449\u0451 \u0435\u0441\u0442\u044c\u0422\u0430\u043a\u0436\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e DeNuitkanizator \u043c\u044b \u043d\u0430\u0448\u043b\u0438 \u0437\u0430\u043c\u043e\u0440\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u043c\u043e\u0434\u0443\u043b\u0438, pe_header, \u0438 \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 (\u0432 C-\u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0435 \u0438 \u043f\u0440\u043e\u0441\u0442\u043e ASM).\u041d\u0438\u0436\u0435 \u0431\u0443\u0434\u0443\u0442 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u044b \u043e\u0442\u0440\u044b\u0432\u043a\u0438 \u0438\u0437 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430:C-\u043f\u0435\u0440\u0435\u0432\u043e\u0434 (\u043f\u0435\u0440\u0432\u044b\u0435 40 \u0441\u0442\u0440\u043e\u043a):#include «environment.h»void func() {_0x140001000:    MEMORY(uint64_t, rsp+8) = rbx; \/* mov qword ptr [rsp + 8], rbx *\/    MEMORY(uint64_t, rsp+16) = rsi; \/* mov qword ptr [rsp + 0x10], rsi *\/    PUSH64(rdi); \/* push rdi *\/    TMP64(rsp, -, 0x30); SET_ZF(64); SET_CF_SUB(rsp, 0x30); SET_AF_0(rsp, 0x30); SET_OF_SUB(rsp, 0x30, 64, 0x8000000000000000); SET_SF(64); SET_PF(); rsp = tmp64; \/* sub rsp, 0x30 *\/    rdi = rcx; \/* mov rdi, rcx *\/    rcx = (uint64_t)&MEMORY(uint64_t, rip+150047); \/* lea rcx, [rip + 0x24a1f] *\/    \/* call qword ptr [rip + 0x24941] *\/    r8 = (uint64_t)&MEMORY(uint64_t, rip+150026); \/* lea r8, [rip + 0x24a0a] *\/    rcx = rdi; \/* mov rcx, rdi *\/    rdx = (uint64_t)&MEMORY(uint64_t, rip+226032); \/* lea rdx, [rip + 0x372f0] *\/    MEMORY(uint64_t, rip+226017) = rax; \/* mov qword ptr [rip + 0x372e1], rax *\/    \/* call 0x14001d820 *\/ PUSH64((uint64_t)&&_ret_140001037); goto _0x14001d820; _ret_140001037:;    rbx = MEMORY(uint64_t, rip+230341); \/* mov rbx, qword ptr [rip + 0x383c5] *\/    rsi = MEMORY(uint64_t, rip+226862); \/* mov rsi, qword ptr [rip + 0x3762e] *\/    tmp64 = rbx & rbx; SET_ZF(64); SET_SF(64); SET_PF(); cf = 0; of = 0; \/* test rbx, rbx *\/    if(!zf) goto _0x140001080; \/* jne 0x140001080 *\/    ecx ^= ecx; SET_ZF(32); SET_SF(32); SET_PF(); cf = 0; of = 0; \/* xor ecx, ecx *\/    \/* call 0x140015340 *\/ PUSH64((uint64_t)&&_ret_140001051); goto _0x140015340; _ret_140001051:;    rdx = -1; \/* mov rdx, -1 *\/    rcx = rax; \/* mov rcx, rax *\/    \/* call qword ptr [rip + 0x246fa] *\/    MEMORY(uint64_t, rip+230299) = rax; \/* mov qword ptr [rip + 0x3839b], rax *\/    tmp64 = rax & rax; SET_ZF(64); SET_SF(64); SET_PF(); cf = 0; of = 0; \/* test rax, rax *\/    if(zf) goto _0x14000117f; \/* je 0x14000117f *\/    TMP64(MEMORY(uint64_t, rax), +, 1); SET_ZF(64); SET_AF_INC(64); SET_OF_INC_DEC_NEG(64, 0x8000000000000000); SET_SF(64); SET_PF(); MEMORY(uint64_t, rax) = tmp64; \/* inc qword ptr [rax] *\/    rbx = MEMORY(uint64_t, rip+230280); \/* mov rbx, qword ptr [rip + 0x38388] *\/_0x140001080:    TMP64(rbx, -, MEMORY(uint64_t, rip+226017)); SET_ZF(64); SET_CF_SUB(rbx, MEMORY(uint64_t, rip+226017)); SET_AF_0(rbx, MEMORY(uint64_t, rip+226017)); SET_OF_SUB(rbx, MEMORY(uint64_t, rip+226017), 64, 0x8000000000000000); SET_SF(64); SET_PF(); \/* cmp rbx, qword ptr [rip + 0x372e1] *\/    if(zf) goto _0x1400010b8; \/* je 0x1400010b8 *\/    rax = MEMORY(uint64_t, rip+230408); \/* mov rax, qword ptr [rip + 0x38408] *\/    tmp64 = rax & rax; SET_ZF(64); SET_SF(64); SET_PF(); cf = 0; of = 0; \/* test rax, rax *\/    if(!zf) goto _0x1400010a9; \/* jne 0x1400010a9 *\/    rcx = (uint64_t)&MEMORY(uint64_t, rip+166044); \/* lea rcx, [rip + 0x2889c] *\/    \/* call qword ptr [rip + 0x24876] *\/    MEMORY(uint64_t, rip+230383) = rax; \/* mov qword ptr [rip + 0x383ef], rax *\/_0x1400010a9:\u0412\u0441\u0451, \u0447\u0442\u043e \u0437\u0430\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043e — \u043d\u0435\u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0435 \u043f\u043e\u043a\u0430 \u043c\u043d\u0435\u043c\u043e\u043d\u0438\u043a\u0438.\u0410\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440 (\u043f\u0435\u0440\u0432\u044b\u0435 40 \u0441\u0442\u0440\u043e\u043a):0x140001000: mov      qword ptr [rsp + 8], rbx       0x140001005: mov      qword ptr [rsp + 0x10], rsi    0x14000100a: push     rdi                            0x14000100b: sub      rsp, 0x30                      0x14000100f: mov      rdi, rcx                       0x140001012: lea      rcx, [rip + 0x24a1f]           0x140001019: call     qword ptr [rip + 0x24941]      [CALL]0x14000101f: lea      r8, [rip + 0x24a0a]            0x140001026: mov      rcx, rdi                       0x140001029: lea      rdx, [rip + 0x372f0]           0x140001030: mov      qword ptr [rip + 0x372e1], rax 0x140001037: call     0x14001d820                    [CALL]0x14000103c: mov      rbx, qword ptr [rip + 0x383c5] 0x140001043: mov      rsi, qword ptr [rip + 0x3762e] 0x14000104a: test     rbx, rbx                       0x14000104d: jne      0x140001080                    [JMP]0x14000104f: xor      ecx, ecx                       0x140001051: call     0x140015340                    [CALL]0x140001056: mov      rdx, -1                        0x14000105d: mov      rcx, rax                       0x140001060: call     qword ptr [rip + 0x246fa]      [CALL]0x140001066: mov      qword ptr [rip + 0x3839b], rax 0x14000106d: test     rax, rax                       0x140001070: je       0x14000117f                    [JMP]0x140001076: inc      qword ptr [rax]                0x140001079: mov      rbx, qword ptr [rip + 0x38388] 0x140001080: cmp      rbx, qword ptr [rip + 0x372e1] 0x140001087: je       0x1400010b8                    [JMP]0x140001089: mov      rax, qword ptr [rip + 0x38408] 0x140001090: test     rax, rax                       0x140001093: jne      0x1400010a9                    [JMP]0x140001095: lea      rcx, [rip + 0x2889c]           0x14000109c: call     qword ptr [rip + 0x24876]      [CALL]0x1400010a2: mov      qword ptr [rip + 0x383ef], rax 0x1400010a9: mov      rdx, rax                       0x1400010ac: mov      rcx, rbx                       0x1400010af: call     qword ptr [rip + 0x24613]      [CALL]0x1400010b5: mov      rbx, rax                       0x1400010b8: mov      rdx, rsi                       0x1400010bb: mov      rcx, rbx\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u0442\u0435 \u0432\u0441\u0451 \u0431\u044b\u043b\u043e \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Capstone + Asm-To-C. \u041d\u043e \u0432\u0430\u0436\u043d\u043e \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u0442\u044c, \u0447\u0442\u043e \u0432\u0441\u0451 \u0440\u0430\u0432\u043d\u043e \u043d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u0441\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043c\u0443\u0441\u043e\u0440 (\u0434\u0430 \u043e\u043d \u0435\u0441\u0442\u044c, \u0432\u0435\u0434\u044c Capstone — \u043d\u0435 \u0440\u0435\u043a\u0443\u0440\u0441\u0438\u0432\u043d\u044b\u0439 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440, \u043f\u043e\u043a\u0430 \u0447\u0442\u043e).\u0410 \u0432\u043e\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u043e \u0441\u0435\u043a\u0446\u0438\u044f\u043c:.data: VA=0x00032000 RawSize=24,064 VirtSize=31,840 Entropy=2.21\/8.0 Rights=0xc0000040 .pdata: VA=0x0003a000 RawSize=8,192 VirtSize=7,920 Entropy=5.20\/8.0 Rights=0x40000040 .rdata: VA=0x00025000 RawSize=52,736 VirtSize=52,594 Entropy=6.16\/8.0 Rights=0x40000040 .reloc: VA=0x004b6000 RawSize=2,048 VirtSize=1,860 Entropy=5.19\/8.0 Rights=0x42000040 .rsrc: VA=0x0003c000 RawSize=4,692,480 VirtSize=4,692,412 Entropy=5.55\/8.0 Rights=0x40000040 .text: VA=0x00001000 RawSize=146,432 VirtSize=146,284 Entropy=6.15\/8.0 Rights=0x60000020 EXEC\u0410 \u0435\u0449\u0451 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 pe_headers.txt. \u0422\u0430\u043c \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u044f \u0432\u0435\u0440\u0441\u0438\u0438 python:———-Imported symbols———-[IMAGE_IMPORT_DESCRIPTOR]0x2EB10    0x0   OriginalFirstThunk:            0x2FEC8   0x2EB10    0x0   Characteristics:               0x2FEC8   0x2EB14    0x4   TimeDateStamp:                 0x0        [Thu Jan  1 00:00:00 1970 UTC]0x2EB18    0x8   ForwarderChain:                0x0       0x2EB1C    0xC   Name:                          0x3168E   0x2EB20    0x10  FirstThunk:                    0x252D8   python311.dll.PyImport_ImportFrozenModule Hint[406]python311.dll.PyErr_ExceptionMatches Hint[180]python311.dll._PyErr_FormatFromCause Hint[1172]python311.dll.PyObject_GC_Del Hint[622]python311.dll.PyObject_CallFunctionObjArgs Hint[606]python311.dll.PyLong_AsLong Hint[447]python311.dll.PyObject_ClearWeakRefs Hint[615]python311.dll.PyCode_Type Hint[84]python311.dll.PyUnicode_AsUTF8 Hint[890]python311.dll.PyUnicode_AsWideCharString Hint[897]python311.dll.PyUnicode_FromFormat Hint[936]\u0420\u0430\u0437\u0431\u043e\u0440 AnyDesk.exe\u0422\u0435\u043f\u0435\u0440\u044c \u0434\u0430\u0432\u0430\u0439\u0442\u0435 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043a\u0438\u043d\u0435\u043c \u0444\u0430\u0439\u043b \u0432 \u043d\u0430\u0448 DeNuitkanizator \u0438 \u043f\u043e\u0434\u043e\u0436\u0434\u0451\u043c \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430\u041f\u0435\u0440\u0435\u0439\u0434\u0451\u043c \u043f\u043e \u043f\u0443\u0442\u0438 DeNuitkanizator_Output\\AnyDesk_20260624_160750\\Dumps\u041f\u0443\u0442\u044c \u0433\u0434\u0435 Overlay\u0418 \u0442\u0435\u043f\u0435\u0440\u044c \u043e\u0442\u043a\u0440\u043e\u0435\u043c overlay.bin \u0447\u0435\u0440\u0435\u0437 HxD.\u0412\u0438\u0434\u043d\u043e \u0447\u044c\u044f \u0446\u0438\u0444\u0440\u043e\u0432\u0430\u044f \u043f\u043e\u0434\u043f\u0438\u0441\u044c\u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043f\u043e\u0434\u043f\u0438\u0441\u044c \u0441\u0434\u0435\u043b\u0430\u043d\u0430 DigiCert . \u0422\u043e \u0435\u0441\u0442\u044c \u043e\u0434\u0438\u043d \u0438\u0437 \u043a\u0440\u0443\u043f\u043d\u0435\u0439\u0448\u0438\u0445 \u0446\u0435\u043d\u0442\u0440\u043e\u0432 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438.\u0410 \u0435\u0449\u0451 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e (\u0432\u0438\u0434\u0438\u043c\u043e \u0434\u043b\u044f \u043f\u043e\u0434\u043f\u0438\u0441\u0438) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f RSA-4096 + SHA-384RSA-4096 + SHA-384\u041e\u0442\u043a\u0440\u043e\u0435\u043c \u0442\u0435\u043f\u0435\u0440\u044c DeNuitkanizator_Output\\AnyDesk_20260624_160750\\Strings\\all_utf8.txt\u0417\u0430\u043c\u0435\u0442\u0438\u043b\u0438 Buildbot\u0417\u0430\u043c\u0435\u0442\u0438\u043c \u0441\u0438\u0441\u0442\u0435\u043c\u0443 CI\/CD\u00a0Buildbot. \u0418 \u043e\u043d \u043a\u0441\u0442\u0430\u0442\u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 Python\ud83d\ude09\u042f \u0441\u043b\u044b\u0448\u0430\u043b \u0435\u0433\u043e \u0447\u0430\u0441\u0442\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u0432 \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u0431\u043e\u0440\u043a\u0430\u0445 \u0438\u0437-\u0437\u0430 \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u0438.\u0410 \u0442\u0430\u043a\u0436\u0435 \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0438…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-484877","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/484877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=484877"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/484877\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=484877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=484877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=484877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}