Ja macht auch Sinn, da ja eig. fast nausschließlich die Stub den Server FUD hält und macht.
Druckbare Version
Ja macht auch Sinn, da ja eig. fast nausschließlich die Stub den Server FUD hält und macht.
Man hat nur zwei Möglichkeiten als Programmierer die Stub unter zu bringen:
Intern oder extern. Extern wäre dann in Form einer Datei, die bei dem Crypter bei war.
Logischerweise muss diese Datei nicht "Stub.exe" heißen. Der Name spielt keine Rolle. Du solltest also, falls noch andere Dateien im Ordner sind, diese ruhig mal in den Hexeditor laden, un nachschauen, ob es sich um eine PE handelt. Wenn ja wird das wahrscheinlich die Stub sein.
Wenn sie intern mitgeführt wird, ist die erste Anlaufstelle Reshack.
Auch da gilt, wie die Resource heißt, oder wo sie sich befindet spielt keine Rolle. Also einfach überall nachschauen, ob eine PE Datei vorhanden ist.
Wenn du da aucn nicht fündig wirst, würde ich per Hexeditor im Builder einfach nach "MZ" oder "PE" suchen, um alle anderen Möglichkeiten nach PE Dateien im Builder abzugrasen.
Solltest du auch so noch nicht fündig geworden sein, wird die Stub wahrscheinlich in verschlüsselter Form gespeichert sein.
Das kann einerseits eine selbst implementierte Verschlüsselung sein, oder eben ein Packer/Protector.
Darüber sollten Tools wie PEiD (google) Aufschluss geben.
In beiden Fällen sind allersings mindestens Grundkentnisse in Olly Voraussetzung. Es sei denn es handelt sich um UPX oder ähnliche Packer, für die 100e Unpacker im Netz kursieren.
Probier das alles nochmal aus, oder lass es und such dir ein neues Target. :D
MfG DizzY_D
Soweit verständlich. Die ersten beiden Bytes beinhalten die Zeichenkette "MZ" welche eine (unter DOS) ausführbare Datei identifizieren, die letzten 4 Bytes zeigen auf den Anfang des PE-Headers.
Punkto Erkennung der Stub: Es ist ja offensichtlich, dass die extern angehängte "Stub" nicht gleich den Dateinamen "Stub" hat oder haben muss. Man kann Sie auch an der Größe der Bytes erkennen.
Man kann ja auch das gesamte PE-HEader zur nächsten 512-Byte-Grenze "aufblasen". EIne PE-Datei ist ja bekanntlich, noch bevor die Sections enthalten sind, mindestens 512 oder 1024 Byte groß. Man kann in jeder Section die Datei um 512 Byte vergrößern (kleinste Wert für Section Alignment in der Datei ist ja 512 Bytes groß ;)).
Wenn ich eine PE-Datei gefunden haben soll, die ich modden könnte, bei welchen Sektionen müsste ich da ansetzen.? Den Section Header oder die Daten der Sektion selbst?
KLICK MICH HART Ich habe euch hier mal eine Website rausgesucht auf der es alle möglichen unpacker gibt. Falls der Crypter gepackt ist einfach den section name mit PEID angucken oder unten das Ergebniss, falls nicht "nothing found" dort steht.
Das kommt auf die Detections an.
Aviras TR/Dropper.Gen liegt meistens an auffälligen Werten im PE Header selbst. Die meisten Detections basieren allerdings auf Signaturen in der Code Section.
Es kann natürlich auch sein, dass bestimmte Strings in der Data oder Resource Section erkannt werden.
Bei den ganzen verschiedenen Techniken, die die AVs heute einsetzen gibt es keinen generellen Ansatzpunkt mehr.
Trotzdem würde ich bei der Codesection anfangen nach Auffälligkeiten zu suchen.
wie siehts denn mit dem paper aus?^^
..bist du mittlerweile fertig geworden? :p
Ok, werde mich dann mal demnächst ransetzen.
Das mit dem TR/Dropper.Gen ist mittlerweile auch nicht mehr allzu leicht zu umgehen. Da hat sich Avira was besseres einfallen lassen um solch Dinge zu vermeiden. (auffälige Werte im Header der PE-Datei beseitigt, leider ohne Erfolg) Werd dann mal in der Code Section anfangen.
BlackCobra
Link funktioniert bei mir nicht, Site wahrscheinlich down.
So mittlerweile bin ich bei Seite 38 angelangt.
Habe am Dienstag meine vorletzte schriftliche Prüfung und verlängertes Wochenende (Mittwoch - Montag frei), inder Zeit denke, bin ich fertig damit und lasse es erst von ein paar "Experten" durchchecken ggf. verbessern und dann veröffentlichen :)
Weitere Infos könnt ihr in der Zeit auch auf meinem Twitter-Kanal einsehen ;)
Cool...ich freue mich schon =)
Und viel Glück bei der Prüfung :D
Ungefährer Release ist der 1.7.2010
Die jeweiligen Arbeiten an meinem Paper kann man auch übringens auf meinen Twitter-Channel beobachten => gf0x (gf0x_FreeHack) on Twitter
Freu mich schon drauf mach dir keinen stresse dann wird es erstrecht ein geilles teil
Ich will ja nicht kritisieren aber dauert das nicht etwas zu lange? Ich mein du sollst ja keine Diplom-Arbeit über 120 Seiten über ein Theman schreiben..
Deine Kritik ist hier auch vollkommen angebracht.
Nur musst du bedenken, dass ich in der Zeit von April bis heute Prüfungen gehabt habe und das Reallife sich natürlich auch mal meldet.
Dadurch kommen noch verschiedene Faktoren dazu, wie mein PC der mal läuft und mal nicht etc.
Also 120 Seiten wird es definitiv nicht haben, aber das Thema Modding ist extrem groß und weitreichend und möchte natürlich das alles, was ich weiss den anderen in diesem Dokument vermitteln.
Kurze Info was das Paper anbelangt:
Ich habe soeben das Thema Manual Packing fertiggestellt.
Hat mich gerademal 2 Nächte â 5 Stunden gebraucht aber ich hoffe es lohnt sich.
Dadurch habe ich auch die 3 Oberthemen (EP verschieben - FakeSig - Manual Packing) fertig und kann mich nun anderen Tipps & Tricks widmen u.a. auch wie Detections (genannt) TR.Dropper.Gen auftreten und wie man diese behebt.
Natürlich auch wie man mit verschiedenen Tricks bzw. Programmen die Detections-Rate senkt.
Mfg.
ich hab dein erstes release gelesen und fand es super.
freu mich auf final :)
Ich würde mioch zwar auch freuen wenn es schneller gehen würde aber Qualität geht über alles.
Find es klasse das du dich da so reinhängst.
*Daumen Hoch*
@gf0x
hab nat. Verständnis dafür. Ich bin/war selbst von Prüfungen geplagt und habe mein schrftl. Abi zumindest schon hinter mir.
@eX0duS
Man kann auch fragen, wenn man ne Userbar verwenden will, die einem gefällt.
Die Userbar mit der Aufschrift "Hacker" benutze ich schon ziemlich lange. Ich habe nix dagegen, wenn du es benutzt, aber fragen wäre mal ganz vorteilhaft, ganz davon geschwiegen, dass du dir nicht mal die Mühe gemacht hast, dieses Bild selbst hochzuladen und mein Perma-Host-Link benutzt..
Ich wollte mich auch mal wieder melden.
Also das Paper werde ich am 2.7 Releasen, da ich es am 1.7 erst zum überprüfen an einige "Experten" abgeben kann.
Ich habe die letzten Nächte geopfert und einige Sachen umgeändert - so dass man es komplett anders aussieht wie der "Vorgeschmack".
Was noch an Thema fehlt - sind die Themen TR/Dropper.Gen fixxen und das Thema Trash-Code mitdem ich bis Mittwoch/Donnerstag Nacht fertig sein werde.
Je nach Faktoren die dazu kommen.
Das Paper hat derzeit 36 Seiten - was aber stetig nach oben geht, da die Themen oben noch fehlen.
Cheers.
gf0x
brav dann kann ich mir das in urlaub mitnehm und am strand in tunesien lesen :D
Ich werd's auch mit in den Urlaub nehmen :D
Um wie viel Uhr wird es erscheinen?
Dito XD zwar nicht in Tunesien aber mitnehmen werd ich es auch,Zitat:
brav dann kann ich mir das in urlaub mitnehm und am strand in tunesien lesen
Grüße
TOP ARBEIT
Bin ich ja mal gespannt :D Hoffe es kommt bald *aufgeregt*
MfG
Lol? Wann kommt das Teil denn endlich?
Ich werde es mir natürlich auch anschauen, ich hoffe es ist auch wirklich gut
Jo, ich hoffe auch, dass es gut wird. Wie ich sehe hält er sich grade im Thread auf.
Edit:\ Lol? Er hat sich getrollt!!
Beruhigt euch mal?
Euer Leben hängt doch nicht von dem Paper ab...
Lasst Gfox seine Zeit, er hat auch noch nen RL.
Ich freue mich auf sein Paper :)
Verdammte scheisse Shadow ich heiße "gf0x" -.-"
So das Paper ist nun rausgegangen zum überprüfen an 3 Experten dieses Boards.
Mfg.
Also wirds heute wieder nix ?
Ich habe das Paper gerade fon gf0x erhalten und schaus mir grade an.
Ich weiß garnicht wieso ihr ihn alle so unter Druck setzt.
Jetzt weiß ich nicht wie intensiv ich es lesen soll und wie detaliert meine Kritik erwünscht ist.
Da ihr es aber anscheinend unbedingt heute noch haben wollt, werde ich es nicht sehr genau lesen können, da ich gleich noch weg muss.
Und da das Releasedatum ja auch heute ist, denke ich mal, dass gf0x die Rückmeldung auch bis heute haben will, oder?
Lass knacken DizzY ;D
Scherz^^
Lieber verschieben und dann ein zu 99% fehlerfreies Paper, als dann eins, wo die Hälfte falsch is :D Also lasst euch Zeit @ Dizzy!
MfG
Also ich hoffe es erscheint heute endlich warte schon so lange xDD
Vielleicht will gf0x uns nur ärgern und postet es um 23.59Uhr :P
lol er heißt gf0x und ich denke er will uns nicht ärgern ;P.