Hey, ich suche coder, die lust hätte mit mir einen crypter für EXE dateien zu schreiben.

Funktionionsprinzip würde so aussehen:
1. Stub auf HDD schreiben,2. an Stub datei zum crypten anhängen,3. in der Stub resource finden und mithilfe von memory execute in den arbeitsspeicher laden.

ich arbeite jetzt schon seit einer woche an diesem crypter.. builder ist fertig, stub noch nicht ganz , da die memory execute funktion noch fehlerhaft ist.

Mich wundert es auch das, die vb crypter meistens funktionieren obwohl sie die relocations/imports etc nicht fixen.

Wer lust hat kann ja mal rein schnupern: einfach googlen nach "Dynamic exe forking of win32 executables"

Anforderungen:
Kenntnisse über das PE format einer EXE Datei, C/C++ kenntnisse


Danke fürs durchlesen : )

EDIT: Ich hätte da noch eine frage & zwar welche aufgaben könnte ich dem builder überlassen um sie in der stub zu sparen?
Mir würde da einfallen gleich die totalsize rausfinden mit die stub gleich genug memory laden kann.
andere vorschläge?
falls Rechtschreibfehler vorhanden sind könnt ihr sie behalten xD

Ich bin mir zwar nicht sicher was das Problem ist, wo dein code ist usw usw der code den du benutzt funktioniert, sogar auf Win 7.
Der Fehler MUSS an deinem Code zum Laden der gecrypteten datei liegen.

ich könnte mri vorstellen wo der fehler liegt, sogar in dem beispiel code gibt die funktion UnmapViewOfSection immer Error NOT_MAPPED_VIEW aus, in meinem auch..

Wie wärs mal mit debuggen? Wenn man nur code kopiert, braucht man sich 1. nicht wundern, dass er nicht funktioniert und 2. nicht erwarten, dass der crypter hinterher "FUD" is.

@OpCodez ich kopiere den code nicht einfach -.- und ich hab den code gedebugged, UnmapViewOfSection returned 0xC000008 was soviel heist wie NOT_MAPPED_VIEW.

naja ich werde weitercoden und hier nen src code posten , sonst hilft mir ja eh niemand

Muß ne echte überraschung sein dass dir ohne Code niemand bei Codingproblemen hilft...

PS: Der code funktioniert ohne JEDE änderung.
Win 7, VSC++ 6.0

@OpCodez ich kopiere den code nicht einfach -.- und ich hab den code gedebugged, UnmapViewOfSection returned 0xC000008 was soviel heist wie NOT_MAPPED_VIEW.
hast du den Code denn überhaupt modifiziert, was das Auftreten des Fehlers hätte verursachen können?

Ja aber mit dem orignal code hab ich auch den fehler das UnmapViewOfSection mit dem NTSTATUS code failed :(

VS 2010
no incremtal linking

Ja aber mit dem orignal code hab ich auch den fehler das UnmapViewOfSection mit dem NTSTATUS code failed :(
Vielleicht solltest du dann erstmal rausfinden, warum das so ist? Hast du überprüft ob eventuell eine der vorigen Funktionen scheitert? Poste doch mal nen Codeausschnitt. Welches OS nutzt du?

Warum müssen die ganzen VB crypter die sections etc nicht realignen?

Seit wann muss ein Crypter sections realignen?

Ich verzweifle hier langsam :S Welche aufgaben hat der builder denn genau? außer die stub aus den resources zu lesen und dann die datei die gecryptet werden soll anhängen? Die datei die gecryptet werden soll muss ja mit einem bestimmten alignment geladen werden oder? also ich spreche davon das die größe der header und die virtuelle größe der sections gefixed werden muss. Da sich die speicher addressen ja ändern wenn die exe vom speicher gestartet werden.. hoffe jemand kann mir helfen.

Ein simpler Builder hat nur die Aufgabe die Stub aus seiner Resource zu laden , dann auf die HDD zu schreiben , das gewünschte File zu Verschlüsseln und dieses verschlüsselte File dann in die Resourcen der auf die HDD gedropte Stub zu schreiben.

Wenn du mit Resourcen arbeitest brauchst du den Header nicht anzupassen. Die VB C&P Crypter sollten das machen weil die meisten mit EOF Daten Arbeiten und so der Header nicht mehr mit den "echten" Werten übereinstimmt ( führt zu Detections ).

~Zer0Flag

Okay danke Zero, jetzt meine frage , wenn ich diese detections umgehen möchte, muss ich doch wenn ich im builder die datei zum crypten lade , gleich die SizeOfHeaders und die VirtualSize mithilfe des SectionAlignments berechnen oder? dann encrypte ich den exe buffer und hänge ihn als resource an meine stub die schon auf die HDD geschrieben wurde

Wenn du den "exe buffer" als Resource anhängst brauchst du den PE-Header nicht anzupassen. Das musst du nur machen wenn du z.B. mit EOF arbeitest.

~Zer0Flag

Danke für eure hilfe :) Ich kann jetzt z. B. calc.exe auf windows 7 ohne probleme aus dem speicher laden
jetzt werde ich mich an das End of File problem setzen