Wie verschiebe ich den EntryPoint?
Info: Den EntryPoint müsst ihr verschieben, wenn ihr euren Trojaner z.B. vor KAV o.ä. verstecken wollt. Wie immer dürft ihr das nur lokal zu Testzwecken machen, und solltet ihr diese Dateien an andere verschicken, müsst ihr sie immer darüber unterrichten, was das für eine Datei ist.
Was ihr braucht:
• OllyDbg 1.10
• PEditor 1.7
• EXE-Datei
• Editor
So wird's gemacht:
1. Ihr öffnet eure EXE-Datei in OllyDbg. Bei Fragen einfach "Ja" klicken!
http://img213.imageshack.us/my.php?image=pic1do3.gif
2. Ihr kopiert alles von "PUSH EBP" bis "CALL DWORD..." (markieren, Rechtsklick, Copy > To Clipboard). Dann öffnet ihr den Editor (Start > Ausführen > "notepad") und fügt dort alles durch Rechtsklick > Einfügen ein.
http://img240.imageshack.us/my.php?image=pic2sp0.jpg
3. Dann schreibt ihr editiert ihr alles wie auf dem Bild zu sehen!
http://img122.imageshack.us/my.php?image=pic3nr7.jpg
4. Dann sucht ihr euch eine freie Stelle (wo z.B. nur "DB 00" steht). z.B.: 00407673.
Dort schreibt ihr dann alles rein, was ihr in den Editor kopiert habt, außer die letzte Zeile. Dann sollte das ganze so aussehen:
http://img216.imageshack.us/my.php?image=pic4ao8.jpg
5. Hinter das "PUSH ESI" schreibt ihr dann noch ein "PUSH 1". Dann schreibt ihr noch ein "JMP 004074A8" hinter "PUSH 1". Das "004074A8" kommt auch wieder aus unserem Editor. Es ist die Stelle an dem "CALL DWORD..." steht. Dann hätten wir in OllyDbg auch schon alles fertig smile . Das ganze sieht dann so aus:
http://img223.imageshack.us/my.php?image=pic45xp7.jpg
6. Dann markiert ihr alles neue (Rechtsklick > Copy > To Clipboard) und kopiert es wieder in euren Editor! Daraufhin klickt ihr Rechtsklick > Copy to executable > All modifications. Dann klickt ihr auf "Copy all" und dann wieder Rechtsklick > Save File. Und speichert das ganze als "server_new.exe".
7. Dann startet ihr PEditor 1.7 und öffnet die "server_new.exe". Nun schauen wir uns an wo unser neuer Server anfängt. Im Editor ist das im 2. Block (der gerade eben kopierte) der erste Zahlensatz. Bei mir: "00407674".
8. Dann seht ihr das im PEditor was von "Image Base" steht. In meinem Fall "00400000" So, jetzt schauen wir uns die beiden Zahlen mal an:
"00407674" -
"00400000"
= "7674" (Unser neuer Entrypoint)
9. Den neuen EntryPoint geben wir bei "Entry Point" ein und klicken auf "apply changes".
10. Fertig! smile Jetzt hat euer Server einen neuen Entrypoint und wenn er nicht mehr klappen sollte, dann habt ihr was falsch gemacht Augenzwinkern
PS: Wenn ihr den Server vor KAV stealthen wollt, dann müsst ihr den EP 3x verschieben und dann könnt ihr erst nach den Hex-Offsets suchen!
Links zu den Programmen:
• OllyDbg 1.10
• http://www.ollydbg.de/odbg110.zip
• PEditor 1.7
• http://www.softpedia.com/get/Program.../PEditor.shtml
Ergebnis 1 bis 10 von 10
Thema: [B] EntryPoint verschieben
Baum-Darstellung
-
01.06.2007, 14:22 #1E.L.I.T.E
- Registriert seit
- 29.03.2006
- Beiträge
- 798
[B] EntryPoint verschieben
Zitieren
