Файл с удаленным из него трояном, не открывается дизассемблером для целей его использования по назначению

avedeo · Регистрация: 10.03.2025

Студворк — интернет-сервис помощи студентам

Всем доброго времени суток, хорошего настроения и бон апети!

Имеется некая игра в файле setup.exe которой был удален антивирусом троян, конечно файл от этого

покоцан и его контрольная сумма изменилась, но он работоспособен я полагаю, как бы

его дизассемблировать и отремонтировать, использую x32(64)dbg, но он отказывается

его открывать и пишет "Недопустимый PE- файл", рекомендовано использовать Pe-Repair

который сказал, что отсутствует сигнатура MZ, но он почему то не исправил, я открыл

этот файл Notepad++ и вставил в начало файла сигнатуру MZ , но теперь ось

ругается , что то у меня знания по этому поводу истощились

@alecss131 · 04.11.2025, 12:46

Сообщение от avedeo

игра в файле setup.exe которой был удален антивирусом троян

Возможно было ложное срабатывание (на все "вылеченные" ехе так обычно реагируют антивирусы) и анитивирус просто испортил файл, причем безвозвратно.
Тут обсуждение пиратского софта запрещено. На лицензии антивирусы обычно молчат.

avedeo · 04.11.2025, 16:06 **[ТС]**

alecss131, Сам файл не был помещен в карантин и доступ к нему остался
но антивирь удалил сигнатуру MZ и вот интересно, у него теперь неверный CRC
сиречь контрольная сумма и простое добавление сигнатуры ничего не поправит
да и дизассемблирование не даст полной картины содержимого, поскольку
неизвестно как он собран, но сама тема ремонта интересна, когда то
я баловался OllyDBG в познавательных целях, но здесь другое восстановить
работоспособность файла

Отключил все антивирусы, скачал оригинал с трояном, буду сравнивать
чего там было в начале файла

@R71MT · 04.11.2025, 18:06

Сообщение от avedeo

я открыл этот файл Notepad++ и вставил в начало файла сигнатуру MZ

Восстанавливать сигнатуру MZ надо не в текстовом редакторе, а в двоичном, например HxD.

@UnknownSoldier · 04.11.2025, 19:10

Сообщение от avedeo

антивирь удалил сигнатуру MZ

Сообщение от avedeo

файл от этого покоцан ... но он работоспособен я полагаю

Файл без сигнатуры MZ не является исполняемым, его невозможно запустить. Какая уж тут работоспособность... Такое "лечение" равнозначно удалению файла.

avedeo · 05.11.2025, 10:02 **[ТС]**

Сообщение от UnknownSoldier

Файл без сигнатуры MZ не является исполняемым

Там не просто сигнатура там должен быть блок и вставка в каком угодно редакторе
не делает его исполнимым

@Royal_X · 06.11.2025, 16:40

avedeo, а нет возможности скачать оригинальный файл? Тут люди посмотрели бы и сказали - вирус или ложное срабатывание

avedeo · 07.11.2025, 12:03 **[ТС]**

Royal_X, Просмотрел несколько десятков exe-шников нормальных
hex-редактором ,сигнатура очень похожа , некоторые абсолютно одинаковые
но в большинстве присутствуют разные символы, немного, штуки 3, 4 так
что восстановление хедера файла представляется проблематичным
если нет образца

Кстати антивирь ничего не выкусил, только откусил сигнатуру и все

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

avedeo -610 / 35 / 0 Регистрация: 10.03.2025 Сообщений: 484

	Файл с удаленным из него трояном, не открывается дизассемблером для целей его использования по назначению 04.11.2025, 11:17. Показов 840. Ответов 7 Метки disassembly (Все метки) Всем доброго времени суток, хорошего настроения и бон апети! Имеется некая игра в файле setup.exe которой был удален антивирусом троян, конечно файл от этого покоцан и его контрольная сумма изменилась, но он работоспособен я полагаю, как бы его дизассемблировать и отремонтировать, использую x32(64)dbg, но он отказывается его открывать и пишет "Недопустимый PE- файл", рекомендовано использовать Pe-Repair который сказал, что отсутствует сигнатура MZ, но он почему то не исправил, я открыл этот файл Notepad++ и вставил в начало файла сигнатуру MZ , но теперь ось ругается , что то у меня знания по этому поводу истощились 0

avedeo -610 / 35 / 0 Регистрация: 10.03.2025 Сообщений: 484
	04.11.2025, 16:06 [ТС]
	alecss131, Сам файл не был помещен в карантин и доступ к нему остался но антивирь удалил сигнатуру MZ и вот интересно, у него теперь неверный CRC сиречь контрольная сумма и простое добавление сигнатуры ничего не поправит да и дизассемблирование не даст полной картины содержимого, поскольку неизвестно как он собран, но сама тема ремонта интересна, когда то я баловался OllyDBG в познавательных целях, но здесь другое восстановить работоспособность файла Отключил все антивирусы, скачал оригинал с трояном, буду сравнивать чего там было в начале файла 0

@Royal_X 6090 / 2781 / 1037 Регистрация: 01.06.2021 Сообщений: 10,141
	06.11.2025, 16:40
	avedeo, а нет возможности скачать оригинальный файл? Тут люди посмотрели бы и сказали - вирус или ложное срабатывание 1

avedeo -610 / 35 / 0 Регистрация: 10.03.2025 Сообщений: 484
	07.11.2025, 12:03 [ТС]
	Royal_X, Просмотрел несколько десятков exe-шников нормальных hex-редактором ,сигнатура очень похожа , некоторые абсолютно одинаковые но в большинстве присутствуют разные символы, немного, штуки 3, 4 так что восстановление хедера файла представляется проблематичным если нет образца Кстати антивирь ничего не выкусил, только откусил сигнатуру и все 0