Okay hier wie versprochen mein Tutorial :)

Ursprünglich sollte es ein V-Tut werden, ich habe mich nun für ein PDF Tut umentschieden und diesen mit vielen Screenshots unterlegt, sodass die Übersicht eines V-tuts größtenteils beibehalten bleibt.
Deshalb bitte nicht davor zurückschrecken, dass es ein Text Tut geworden ist. Außerdem habe ich mich bemüht alles möglichst locker und leicht verständlich zu erklären.

Das Target ist der Area51 Crypter V2.0 (Da grüße ich den Coder Ephiphone mal direkt). In dem Tut wird versucht die Stub des Crypters FUD zu machen.
Dies gelingt auch bis auf eine Detection, die aber ohne Sourcecode nur schwer zu bypassen ist. Warum das so ist steht auch im Tut.

Über Zahlreiche Rückmeldung zum Tut würde ich mich sehr freuen. Wenns genug Interesse gibt werden vll. weitere folgen. Bei Fragen ist dieser Thread hier zu nutzen.

DL Link:
http://rapidshare.com/files/222928232/Advanced_EXE_Modding_by_DizzY_D.pdf

Ansonsten gehen noch Grüße an Slayer616 raus, der mir einige Tipps gegeben hat.

So ich hoffe ihr könnt mit dem Tut was anfangen.
Alle benötigten Vorraussetzungen/Tools werden im Tut genannt.


Bitte Feedback geben!

Mfg DizzY_D

Dass das so gut werden würde hätte ich nicht gedacht aber gut dass du endlich alle hartnäckigen Detection bypassen konntest :D

Mensch Leute...
14 Downloads und noch kein richtiges Feedback?
Tut mir mal den gefallen und sagt was dazu...

Ich meine von den 14 sind 12 Skiddies, die keine Ahnung haben was du da anstellst. Einer weiß was du tust hält es aber sinnlos ein Feedback mit: "Krasse Sache Alter" (Mehr kann ja einer der das versteht nicht sagen) zu geben. Der Letzte ,das bin ich, hat schon ein Feedback abgegeben?

Also ich gebe auf jeden Fall mal ein Feedback!

Gut, außer ein paar formalen Sachen, welche ich nicht tragisch finde ist es sehr gut erklärt worden. Gut ein paar Kentnisse setzt es Vorraus, stimmt, gut das das oben steht.
Ansonsten mach ruhig noch eine Erklärung gegen den Emulator von Bitdefender.

9/10 Punkten

ich finde, du hättest ein bisschen mehr erklären können, WELCHE strings man entfernen soll :(
aber sonst finde ich es gut...
hättest vllt noch für ganz faule links zu den tools adden können^^

also das tut is echt gut geweworden übersichtlich und eigentlich verständlich wenn man mal brain.exe startet aber naja^^

im großen und ganzen is das tut echt ne hilfe thx

mfg
omakauftdrogen

Also Teilweise isses mal kompliziert geworden^^ Aber zur not muss man halt mal schnell ein paar minuten googeln. Ansonsten astrein!

deshalb auch das Wort Advanced

Hexen ist eine Kunst für sich, insgesamt gefällt mir das Tutorial gut, da es sehr detailreich ist und die einzelnen Schritte gut erklärt. Was ich etwas schade finde ist, das dass Offsets-finden nur mit AVDevil erklärt wird. Die etwas rohere Variante mit dsplit und dem Scannen lokal von Hand hätte mir noch gefehlt!

Ich sag jz ma danke. Hab jetzt nur mal alles schnell durchgeschaut und sieht nicht schlecht aus. Nice work ;)

Sie haben http://rapidshare.com/files/222928232/Advanced_EXE_Modding_by_DizzY_D.pdf | 2050 KB angefordert. Der Server 705.rapidshare.com ist momentan nicht verfügbar. Wir arbeiten an der Fehlerbehebung.


Macht'n Mirror auf UL ;)

auf seite 17 -18 steht mann könnte es mit irgntwelchen daten überschreiben...
wäre allerdings doch schlauer wenn es nicht ausführbarer code is^^
also irgenwelche .data oder .resource sachen...

Sehr gutes Tut! Danke

habs bisher nur überflogen(grad kaum zeit...) bzw bis zur "brain.exe" gelesen was mir ein lachen ins gesicht gezaubert hat xD
sieht aufm ersten blick sehr ausführlich aus und werd mich heut abend mal in ruh davorsetzen muahaha

hoffe das ich einen ähnliche erfolg erzielen werde

also in großen und ganzen
thx für tutorial ---> hab mal wieder was zum lernen ^^

mfg und so

eine frage dazu, die man "eigentlich wissen sollte" :D
wie finde ich nicht benutzte strings raus? ...finde da nichts zu

N Video tut fänd ich doch besser als so in einer pdf <.< trotzdem sehr schön das tut ;)

Ui so viel Feedback auf einmal!

@Kellerkind
Wie gesagt eig. sollte es n V-Tut werden, jedoch wurde mir sehr schnell klar, dass das nix geworden wäre.

@bla
Das ist eig. nur eine Frage des Ausprobierens. Bei VB Exen ist es z.B. immer so, dass z.B. der Pfad des projekts mit in die Exe gepackt ist. Diesen kann man immer entfernen, da er nie benutzt wird. Warum Microsoft den mit in die Exe packt ist mir auch ein Rätsel...
Naja wie gesagt einfach mal rumprobieren. Strings wie "Project1" oder die Modulnamen kann man auch immer entfernen.

@wacked
Was meinst du mit ".data oder .resource Sachen"?
In dem Fall ist es föllig egal womit man die Bytes überschreibt, da sie ja eh nicht genutzt werden.

@angerdo
Ich benutze zum Splitten kein eigenes Programm. Ich schneide mit dem Hexeditor so lange Bytes ab, bis ich das Offset habe. Das mit dem Scanner sollte eig. auch kein Problem darstellen. Wie das aussieht, kann man ja auf dem Screenshot sehen.


Über noch mehr Feedback würde ich mich freuen. :)

Edit:
oO warum ist n da son "Daumen runter" an meiner Antwort? Hmm muss wohl daran liegen, dass F-H bei mir imho zimlich langsam ist... macht euch nix draus war n Versehen.

Also im ernst ist wirklich SEHR gut geworden man merkt das du dir viiieell Mühe gegeben hast! Also ich habe zwar nicht alles jezt auf anhieb verstanden doch ich werde es bald alles schrit für schrit nachmachen ... Ich denke dann müste es auch soweit klar sein :D

Also ich finde es gut das es mit "Fröhlichkeit" gecshrieben wurde so hat man auch Spaß beim Lesen und muss nicht i welche langweiligen Texte Lesen oder so xD

Auch gut finde ich das du auf einzelne sachen eingegangen bist die manchmal nicht so klar waren also du hast auch Hintergrundwissen vermittelt ...

Für mich : 10/10 Punkten da ich eigentlich Nix zu Meckern hab ;)

Nur zu empfehlen! :D

Exelentes Tutorial, mal ne Frage... Hast du auch nen Basic TUtorial oder kennst ein gutes? Denn ich denke ich brauche noch mehr Basiswissen ;)

Wenn du mir sagst wo du mehr Basiswissen brauchst hab ich vll. was für dich.

@dizzy
hier[ink]http://en.wikipedia.org/wiki/Portable_Executable[/link]
3.section
wusste aber nich dass das nur für .net sachen war...mein fehler

Ich hab mir den "pe detective" geladen , jedoch funktioniert der "signature explorer" bei keinen der downloads... gibs ne alternative dazu?

mfg und so

Meiner Meinung nach hättest du auf die ein oder andere Sache etwas mehr eingehen können oder auf ein anderes Tut verweisen können!
z.B.
Als Erstes sollten unbenutzte Strings aus dem Programm entfernt werden Soweit ich weiß, ist dazu hier nicht wirklich was zu finden.
Ansonsten schickes TUT

jedoch funktioniert der "signature explorer" bei keinen der downloads...

Wär schön, wenn du mal sagen könntest was genau nicht funktioniert.

@ Nobody
Okay ich dachte wie man dabei vorgeht wäre den meisten hier schon klar. Anscheinend ist das nicht so deshalb werde ich diesen Teil noch ins Tut einbauen und nochmal uppen.
Ich werde den Link dann im ersten Beitrag aktualisieren.

krieg nen error wenn ich auf die "signature explorer.exe" klick

http://img10.imageshack.us/img10/142/errorgtj.th.jpg (http://img10.imageshack.us/my.php?image=errorgtj.jpg)

(http://img10.imageshack.us/my.php?image=errorgtj.jpg)

Hmm an der Fehlermeldung kann an warscheinlich net viel machen.
Da bleibt dir wohl nur übrig die Datei "IMAGE_FILE_MACHINE_I386.xml" im Ordner "Signatures" mit dem Texteditor zu öffnen.
Ist zwar nich so ne schöne GUI aber mit der Suche vom Texteditor sollte man das, wonach man sucht trotzdem finden.

habs denk ich einigermaßen gut hinbekomm ...
vorher ...
http://img14.imageshack.us/img14/7958/68423150.jpg
nachher
http://img14.imageshack.us/img14/5195/57675206.jpg

muss mir nur noch nen kopf machen um die verbliebenen antiviren progs

Sieht doch nice aus...

A-Squared und Ikarus ist das Gleiche. Das heisst wenn A-Squared weg ist, ist auch Ikarus weg :)
Und dank dem Kommandozeilen Scanner ist die Detection leicht mit Splitten zu beseitigen.
Also Scannen, Stück vom File anbschneiden und wieder Scannen bis du das Offset relativ genau hast.
Danach VA berechnen und in Olly nachschauen, was sich tun lässt :)

Viel Spass !!!

super, ich danke dir.
so ausführlich habe ich es noch nie gefunden.

werde mich mal die tage dransetzen

DizzY_D (http://free-hack.com/member.php?u=39579)

Bei Avria mit TR/Dropper wirst du das nicht wegbekommen :-) mit bisschen String suchen :-)


Aber super TUT :-) LOB

sehr nice tutorial ;) ich hätte auch noch interesse an den Antiemulatoren tuts aber wie bekommt man den letzt endlich dann was FUD wenn das dann auch wieder neue Detections aufwirft?

DizzY_D (http://free-hack.com/member.php?u=39579)

Bei Avria mit TR/Dropper wirst du das nicht wegbekommen :-) mit bisschen String suchen :-)



Was soll n das jetzt heißen? Meinst du ich weiß net wie ich TR/Dropper weg kriege? Doch weiß ich! Aber ich habs netmehr ins Tut aufgenommen, weil es mir erstmal nur um die Stub ging.

@Necrom
Da du bis jetzt der Erste (oder Zweite) bist, der da Nachfrage außert, werde ich das Tut noch net machen, denn für 2 Personen lohnt sich der Aufwand net...
Wie man die neuen Detections dann wieder wegbekommt weiß ich auch noch net aber möglich ist alles ;)

selbe methode anderer weg.
funktioniert eigentlich immer^^

Habe auch einmal kurz rüber geschaut sieht ganz schön nett aus :) werder es nich "ruchtig" durcharbeiten. :)

ich finde auch das was du am anfang meinst mit den strings solltest du doch nochmal
verständlich machen tuts genau dazu findet man eher nicht da hat Nobody schon recht
reupp es halt nochmal..ansonsten sehr schöne arbeit haste gut gemacht ;)

Jo!
Ich hätt da auch noch ein paar fragen!
1.ens: Wenn ich eine Signatur reinmach, findet PE-Detective immer noch 78% C#.
Einfach andere Siggi nehmen?

2.ens: ich hab das nicht verstanden, was ich tun soll und zwar:

Um zu sehen, wo wir am Ende der Sig unseren JMP zu platzieren, tracen wir mal ein bisschen durch die Sig mit F8 Der Letzte Befehl ist ein POPAD. Nach diesem Befehl können wir noch ein Paar JMPs eingfügen und zu guter Letzt dann den JMP zum OEP.

vll. erklärts mir jmd :P

und ich such noch ein tut für den letzten schritt, die offsets mit ollydbg umgehen,
das mach ich normalerweiße mit dem HexEditor, aber das für olly möchte ich auch
noch lernen.
Thx schonmal,

so far,
b0ris

Jo!
Ich hätt da auch noch ein paar fragen!
1.ens: Wenn ich eine Signatur reinmach, findet PE-Detective immer noch 78% C#.
Einfach andere Siggi nehmen?


Die Signatur ist hauptächlich dafür da, dass die AVs den OEP nicht nachverfolgen können. Daher ist es wichtiger, dass die Signatur viele JMPs/CALLs als, dass der Compiler nicht erkannt wird.



2.ens: ich hab das nicht verstanden, was ich tun soll und zwar:


Durch das Tracen verfolgen wir, wo das Ende der Sig ist. Um die AVs noch mehr zu verwirren bauen wir noch ein Paar JMPs quer durch den code ein und springen danach zum OEP damit das Programm wieder normal ausgeführt werden kann.



und ich such noch ein tut für den letzten schritt, die offsets mit ollydbg umgehen,
das mach ich normalerweiße mit dem HexEditor, aber das für olly möchte ich auchnoch lernen.


Wieso willst du noch ein Tut? Wie das mit Olly geht wird doch beschrieben.
Wenn du dazu noch Fragen/Probleme hast frag ruhig hier.


MfG

sehr gutes tutorial! denke auch anfänger können mit ein bisschen köpfchen das verstehen.

zeigt wieder mal, dass man nicht alles von grund auf neu coden muss, um ein gewünschtes ergebnis zu erreichen...
wie gesagt, sehr gutes tut, weiter so!

PS: an den oberen poster: TR/Dropper kann man auch bypassen. avira ist übrigens auch anfälliger geworden, da die gewisse scannmuster verändert haben ;)

naja da es doch nicht alle verstehen kannste ja vielleicht mal versuchen
nen vid tut zu machen zu mindest wie man am anfang die strings entfernt.

also das auf was du nicht eingegangen bist

Das ist Advanced EXE Modding und nicht freehack-15-post-scripptkiddy Exe Modding. Wenn er meint dass sinnlose Strings gelöscht werden sollten dann setzt er vorraus dass ihr wisst welche... Und wer denkt ach der Slayer redet dummes Zeug und hat selber keine Ahung dann würd ich sagen: Löscht doch mal die Projekt und Modulnamen :D

Geiles tut Dizzy_D genau sowas hab ich schon ein wenig länger gesucht um server/crypter zu modden. Hab mir schon ein paar teile der lena151 reihe zum thema cracken/reversing und ollyDBG reingezogen um nen einstieg in die thematick zu bekommen aber dein tut richted sich doch viel mehr auf meine ziele und ist vorallem auch auf deutsch :).
Würde als video wohl echt nich viel sinn machen wenn man die ganze zeit den text hin und her spulen müsste ... gute entscheidung das als pdf zu veröffentlich!
Habs zwar gerade nur überflogen aber werd mich da gleich mal intensiver durchwühlen ....
Auf jeden fall ein digges DANKE an dich dafür DIZZY_D ;)

Mal noch nee dumme noob frage : Macht es sinn den server selbst zu modden oder werden immer nur die Crypter gemodded ?

Erstmal danke für dein positives Feedback :)


Mal noch nee dumme noob frage : Macht es sinn den server selbst zu modden oder werden immer nur die Crypter gemodded ?

Du kannst natürlich auch genauso gut den Server modden.
Nur ob das sinvoll ist, ist die Frage. Wenn du dir einmal deinen eigenen Crypter FUD gemoddet hast, kannst du ja auch alles damit crypten.

Erstmal wollte ich sagen,dass das ein super Tut ist =)
Und nun zu meiner Frage:
Bei mir ist der Header bereich detected,was bedeutet,dass ich dort nichts mit OllyDBG machen kann.
Ich habe in dem Forum schon nach Tuts gesucht und auch gefunden.
Doch die haben mir auch nicht weitergeholfen.

Bei mir ist der Header bereich detected,was bedeutet,dass ich dort nichts mit OllyDBG machen kann.


Zuerst musst du rausfinden woran genau es erkannt wird. Oft liegt es an den Einstellungen der Sections. Es kann aber auch an Resourcen, ImportTable, EP an "riskanten" Stellen, Checksum etc. liegen.

Wenn du immernoch Hilfe brauchst, meld dich nochmal mit genaueren Angaben und dem Name der Detection.

Wollte gestern noch antworten FH war aber down^^
Hier die Einstellungen:
Gefunden wird TR/CRYPT.XPACK.GEN
http://img11.imageshack.us/img11/4404/blastn.jpg
Desweiteren suche ich noch Methoden um das TR/Dropper wegzubekommen.
Und schon mal ein riesen DANKÖÖÖ an dich^^

Hallo DizzY D,
erstmal gelungenes tut von dir,
mich würde die Methode mit den Anti Emulator Codes um gegen Bit Defender zu stealthen sehr interessieren.
Über Erläuterungen Deinerseits würde ich mich sehr freuen^^

sehr gutes tutorial, respekt. ;)

nice tut, mach weiter so ...

mich würde die Methode mit den Anti Emulator Codes um gegen Bit Defender zu stealthen sehr interessieren.
Über Erläuterungen Deinerseits würde ich mich sehr freuen^^

Ich mich ebenfalls :)

Super Tutorial, ich will dich wirklich mal loben. Vor allem, dass du deine ICQ Nummer angibst finde ich super und es zeigt das du ein total korrekter Mensch bist. Die meisten Profis sind ja total eingebildet und meckern nur über die unerfahrenen. Du machst da wenigstens etwas gegen.

Übrigens ist es schon okay wenn nicht alles bis ins kleinste Detail beschrieben wird, das wäre ja langweillig und zu einfach.

Ich wäre Für ein Modding Sticky wo die Mods mal Alles Rund um Modden in einem Sticky reinbringt um Fragen und langes suchen zu erspaaren, es gibt ca 15 tuts und die sind nicht umbedingt einfach zu finden...

Ohja das würde ich auch echt praktisch finden, modding tuts kann ich gar nicht genug in die Finger bekommen und bin echt happy über jedes einzelnes.

Wo bekommen gute modder eigentlich die Informationen her worauf welcher Virenscanner reagiert und wie man das bypassen kann, sind das einfach ehrfahrungswerte, oder können die soetwas z.b. aus ner virendefinition direckt vom hersteller auslesen ?

Ich wäre Für ein Modding Sticky wo die Mods mal Alles Rund um Modden in einem Sticky reinbringt um Fragen und langes suchen zu erspaaren, es gibt ca 15 tuts und die sind nicht umbedingt einfach zu finden...

jo gute idee ,wäre übersichtlicher

hey
dein tutorial ist dir sehr gut gelungen und ist echt sehr hilfreich
aber ich hab trz ne frage :confused: und zwar:

Der Letzte Befehl ist ein POPAD. Nach diesem Befehl können wir noch ein Paar JMPs eingfügen und zu guter Letzt dann den JMP zum OEP.
So jetzt tracen wir mal weiter bis wir am OEP sind um zu gucken ob alles klappt. Okay, das ist er OEP. Funtzt also :D. Direkt erstmal speichern. Mal sehen wies jetzt mit den Detections aussieht.

ich weiß nicht genau welchen oep du meinst.
also wenn ich die stub zum ersten mal in den ollydbg öffne , meinst du dann den entrypoint als original entrypoint oder den popad entrypoint oder den pushad entrypoint :confused::confused:

Original Entry Point.

aber iwie haut des nicht hin
wenn ich denn entrypoint kopiere sieht das so aus:

1100157C s> $ 68 CC170011 PUSH stub.110017CC
aber nachdem ich die fake signatur eingefügt hab siehts so aus:

1100157C 68 DB 68 ; CHAR 'h'


und der stub funzt nichtmehr -.-

Bytes makiert?

lol ich habs nochmal probiert jetz geht alles :D

obwohl ich eig genau des selber wie vorhin gemacht habe komisch,komisch

so bin beim gleichen problem wie xdugs angelangt und zwar is der av offset berreich bei 2-1cc was soll ich nun machen , ollydbg läd erst ab 1000

Ich weiß echt nich wie oft ichs hier schon geschrieben habe, aber ich schreibs nochmal:
Was mag wohl an Offset 2-1cc liegen? Hmmmm.... Was steht noch gleich bei jeder exe als erstes in der Datei? Ich komm einfach nicht drauf...:eek::eek:

Vielleicht fällts dir ja jetzt ein ansonsten sollte dir das Tutorial eh nicht viel gebracht haben.

falls du dateiinformation und sowas meinst des habe ich mit reshack alles geändert ansonsten ka was da is sry

L O L

Da gibts nchts mehr zu sagen :/





Oder doch:
Ich gebe euch einen Tipp:
ZM
Die oberen Buchstaben sind wild durcheinander gemischt, nur ein echter 1337 Hacker kann die 2 Buchstaben sinnvoll zu einer Antwort zusammenfügen.

ich habe auch 00 stellen zu ff geändert dannach is der zwar ud aber auch kaputt -.-

DizzY_D und Slayer haben doch bereits gesagt warum das nicht geht:
Wenn man wie ein Elefant im Urwald planlos Bytes verändert ist es doch nicht verwunderlich, dass das Programm kaputt geht.

Im Grunde hat jeder, der durch "Hexxen" (ich würde es eigentlich weder so nennen, noch so schreiben... 1 "X" FTW) sein Programm nicht zerstört mehr Glück als Verstand.

Code überschreiben kann eigentlich nie gut sein - der einzige Grund, warum das manchmal funktioniert, ist weil der überschriebene Code (falls überhaupt Code überschrieben wird) nicht gebraucht wird.
Sollte dieser jemals ausgeführt werden, ist es ziemlich wahrscheinlich das man durch planloses (anders kann man das ja nicht bezeichnen) Überschreiben die OpCodes zerstört hat.

Das führt dann entweder zu falschen Befehlen, oder sogar Befehlen, die etwas ganz anderes machen!

Die einzigen Stellen, in die ohne Gefahr reinschreiben kann, sind die durch das FileAlignment (siehe PE-Header) entstandenen "Code-Caves" - da diese aber immer mit NULL-bytes beschrieben sind, werden die für dich interessanten "Offsets" sicher nicht in so ein Code-Cave zeigen. (wieso sollte ein AV-Scanner auch Viren anhand von NULL-bytes erkennen)
_____________________
Back2Topic

Bevor das in noch mehr sinnlosem Gespamme endet, löse ich "das große Rätsel" mal auf:
Du überschreibst Teile des DOS bzw. PE-Headers, welche vom Windows Loader zum Laden der Datei benötigt werden...

und wie kann ich jetz mein prob lösen ?

2-1cc
liegt im PE Header (http://de.wikipedia.org/wiki/Portable_Executable).

und wie kann ich jetz mein prob lösen ?
Problemlösung: Headerwerte verändern.
Benötigte Tools:
LordPE oder CFF Explorer oder Hexeditor
Benötigte Papers:
http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx
oder
http://atlas.csd.net/%7Ecgadd/knowbase/WIN-OS20025.HTM
hier kann man z.B ablesen, wofür die einzelnen Einträge stehen und welche Werte diese annehmen können.
Nett ist auch das Ezine von ARTeam (falls man mit den oberen Papers nicht auf Anhieb klarkommt):
http://www.tuts4you.com/download.php?view.235

Tipp: werde im DOS Header können beliebig geändert werden (nur der Verweis auf "PE" halt nicht). Werte in der Sectiontable kann man z.T auch "einfach so" ändern (VirtualSize, Charakteristics). Sonst kann man die Exe realignen lassen.
CodeBase,Database Werte können beliebig sein. Usw.

Also du machst es so:
Schau auf deinen Rechner, suche nach dem Ausschaltknopft - einfach 10 Sekunden halten. Dann am besten aufstehen, rausgehen, was unternehmen.

Mal im Ernst: WIE SCHEISSE BIST DU EIGENTLICH? Warum sllen wir dir helfen? Weil du zu dumm bist um das alles selber zu studieren? Weil du verdammtnochmal denkst wir sind deine Bimbos?
Bekommst du alles in den Arsch geschoben - ich tus nicht!

Verdammtnochmal bevor du fragst überleg dir ob DU was tun kannst um es zu lösen!

Schönes Ding ! Richtig gute ausführliche Antwort EBFE, dank dir, da scheint ja nochmal richtig was an nützlichen infos drinne zu stecken, ziehe mir gerade das ARTeam PE file tut rein ... verdammt geile sache!
So etwas habe ich schon gesucht, iss zwar auf english aber da kommt man ja wohl früher oder später beim reversen eh nicht dran vorbei.
Langsam kommt licht in den Dunklen PE Wald :D

und woher soll ich das bitte alles wissen ?
ich habe nunmal diesen thread gefunden und hab um die basics zu lernen tutorials über stub modding entrypoint verschiebung und hexxen angeschaut nur leider waren das gerade mal 4 tutorials und ich weiß als totaler neuling eben auch nicht woher ich die informationen bekommen soll, wie ich files modde ...

tut mir leid falls ich euch "profis" damit aufrege aber anstat mich zu beleidigen könntet ihr mir doch wenisgtens zeigen wo ich die basics finde oder wo ich eine lösung auf mein prob finden kann !


achja thx ebfe für die hilfe

Google!

also (ich) hab die detections gefunden und zwar:

RawSize:0000B000
RawOffset:00008000

des prob is wenn ich die änder bzw anpasse dann breake ich die stub oder sie geht nichtmehr ich hab bisher nur werte von sachen genommen die ud sind oder/und die eof an die rawsize + rawoffset angepasst

ah ja hört sich doch nach was an ;)

Ok haste einfach versucht eine neue section reinzubauen wo die EOF daten liegen?

EDIT: ja is immer noch dropper

Ich hab mal ne blöde Frage .. Und zwar wenn man jetzt zum Beispiel eine Stub von nem Crypter modden will, indem man wie in deinem Tutorial andere Signaturen in Ollydbg einfügt aber in Ollydbg keine 00 stellen(also in der Stub) findet was macht man dann?

PS: Dein Tutorial is echt gut geworden find ich ... is zwar etwas anspruchsvoller aber wenn man sich da mal in ruhe durcharbeitet versteht man eigentlich alles echt gut!

Ne exe ohne CodeCaves ist sehr selten. Bist du sicher, dass du an der richtigen Stelle suchst? Meist sind am Ende der Codesection 00 Bytes vorhanden.

Achso oke man darf auch die 00 Bytes am Ende des Codes nehmen :D Dann sind da natürlich welche.. war mir nur nicht klar weil du glaub in deinem Tutorial gesagt hast des das net so gut wär weil des manche AVs dann irgendwie checken :D

Hab noch ne Frage und zwar .. Kann man auch mehrere verschiedene Signaturen benutzen um die AVs zu täuschen oder zerstört man damit immer die zu moddene datei? (war jetzt ein paar mal bei mir so deswegen frag ich^^)

Saug's mir grade, aber ich muss jetzt nochmal weg und danach wird der PC erst morgen wieder bedient. Morgen editier ich dann mein Feedback rein.
MfG Razorigga

Ich finde das Tutorial ist sehr gelungen 10/10.
1. Wenn ich die VB Msg Box Funktionen etc umleite, dann erkennt Avira die Stub immer noch. Ist das nur bei mir so oder auch bei anderen?
2. Wenn ich eine gefälschte Signatur einsetze und dahinter noch ein paar JMPs ändert sich nichts an der Detection der Stub. Alle AVs die die Stub vorher erkannt haben erkennen die Stub immer noch, obwohl ich so viele jmps und calls vor dem (OEP) habe.
3. Vielleicht könntest du noch erklären wie ich ein bestimmten Teil von Bytes decrypte und encrypte

mfg Marcel187

Das tut iss echt saugeil geworden, hab mich da mit mal ein wenig beschäftigt und bekomme meine stub 1/23 UD (http://virus-trap.org/) und 2/24 UD (http://scanner.novirusthanks.org/ [die stub war vorher eh schon FD])

Nur A-Squared und Ikarus schlagen noch an (Riskware.Win32.VBInject!IK) weiss einer wie man diese noch bypassen kann ?

Würde mich echt freuen, zu dem Tutorial noch einen zweiten Teil oder eine ergännzung zu sehen! Das neue Manuell unpacking Tut iss auch gut geworden, ziehts euch ruhig mal rein. OllyDBG wird da auch nochmal erklärt, eine gute Quelle für reversing Noobs.

THX nochmal an Dizzy_D

Würde mich echt freuen, zu dem Tutorial noch einen zweiten Teil oder eine ergännzung zu sehen!

Mal schauen... Lasst euch überraschen ;)



Nur A-Squared und Ikarus schlagen noch an (Riskware.Win32.VBInject!IK) weiss einer wie man diese noch bypassen kann ?


Ohne es jetzt genau zu wissen, würde ich die API-Namen verschlüsseln. Einfach mit der kleinen XOR Funktion drübergehen ;)

Danke DizzY, du bist einfach sau gut. An einigen Stellen ist es als Anfänger schon schwierig, deinem Tutorial zu folgen, aber insgesammt sehr gut erklärt.

Ja da kann man nur sagen "Hut ab!"
Finde das Tut einmalig gut.
Ich hätte auch noch interesse an dem Bypass von Bitdefender wenn das möglich wäre ;)

Greetz

Deshoax

also ich hab keine ahnung vom Hexxen probier es aber trotzdem mal.


Als Erstes sollten unbenutzte Strings aus dem Programm entfernt werden
da liegt mein problem steht hier im board nich und unter google findet sich auch nichts auch finde ich hier keinb tutorial wie man das macht sufu hab ich auch schon benutzt und unter scenecoders is auch nichts zu finden weil die grad n update fahren.


Google!
da hab ich auch schon nach infos gesucht aber nix geunden

Als Erstes sollten unbenutzte Strings aus dem Programm entfernt werdenda liegt mein problem steht hier im board nich und unter google findet sich auch nichts auch finde ich hier keinb tutorial wie man das macht sufu hab ich auch schon benutzt und unter scenecoders is auch nichts zu finden weil die grad n update fahren.
Mit einem Hexeditor oder mit Ollydbg direkt in dem Fenster "Hex Dump"...

Bei Olly kannst dir mit rechtsklick -> search for all referenced text strings die strings anzeigen lassen...
Einfach überschreiben mit hex 00 oder ersetzen mit irgendwas.

Wenn jetzt die dumme frage kommt, welche strings man den bearbeiten darf, dann kommt die kluge antwort: Probier es aus und stell nicht so dumme fragen.

danke ich würde sagen die mit dem ASCII

Also bei mir zerhaut die Fake-Sig immer die Stub. Wenn ich danach, was damit crypte funktioniert die Zieldatei nicht mehr. Der Effekt mit der UD"heit" ist zwar vorhanden aber ohne Funktionalität ist mir das kein Nutzen.

Ich habe es bisher immer mit dem LordPE gelöst. Sollte ich es lieber mit dem CFFExplorer lösen? Problem: Dort steht immer schon der richtig geänderte EntryPoint.

MfG. -DoS

mal ne frage ...

folgt ein zweiter teil auf dieses tutorial, wo erklärt wird wie man gegen emulatoren (bitdefender) vorgeht ...

folgt ein zweiter teil auf dieses tutorial, wo erklärt wird wie man gegen emulatoren (bitdefender) vorgeht ...

Ist vorerst nicht vorgesehen. Ich hab mit der Unpack Serie schon genug am Hals ;)

Also bei mir zerhaut die Fake-Sig immer die Stub.

Hast du den EP neugesetzt und die Checksum angepasst, in LordPE?

@gf0x
hatte das selbe prob und jetzt funzt es! thx

gutes tut nur leider noch ein bischen zu hoch für mich... ich werde mich ranarbeiten

Kann mich nur meinem Vorredner anschließen. Leider bin ich persönlich noch nicht soweit.....

ok sehr geiles tut aber woher bekomme ich den crypter ???
Hab mit sufu nix gefunden :-)

was isn das für ne frage? darauf antworte ich nciht!! sind hier nur n00bs unterwegs? in wirklichkeit ist das auch net advanced, sondern eher basic....

Wieso antwortest du dann?
Schau mal auf das Datum, haben andere doch auch durchgehalten...

was isn das für ne frage? darauf antworte ich nciht!! sind hier nur n00bs unterwegs? in wirklichkeit ist das auch net advanced, sondern eher basic....

jeder hat mal klein angefangen.... da hat wohl jemand minderwertigkeitskomplexe oder sonstige psychische probleme, zurecht gebannt ;)

Sau gutes tutorial :) Meiner meinung sollte man den anderen auch ein teil der arbeit lassen.. hier wird alles erklärt das ich andere schon selbst angearbeitet haben. Sehr gut erklärt :)

nice!