Ich habe mir einen funktionierenden Crypter gecodet.
Allerdings ist er noch nicht komplett FUD.
Um in etwas weiter in Richtung FUD zu bekommen, will ich eine neue Section hinzufügen.
Leider ist von z.b dem Trojaner PI die SizeOfHeaders zu klein. um eine neue Exe hinzuzufüren.
Demnach möchte ich die SizeOfHeaders vergrößern, was zur Folge hat, dass die ganzen Sectionoffsets und Entrypoint usw.....verschoben wird.
Ich habe schon viele Einträge geändert, allerdings funktioniert die Exe immernochnicht.
Welche Einträge muss ich alles ändern, um die SizeOfHeaders zu vergröern?
Ergebnis 1 bis 8 von 8
-
22.09.2008, 16:37 #1Anfänger
- Registriert seit
- 04.08.2008
- Beiträge
- 23
Section bzw. PE Header vergrößern?
-
22.09.2008, 17:37 #2I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Sämtliche Adressen, die in Befehlen verwendet werden. Dazu zählt z. B. auch sowas:
Da es keine hunterprozentig sicheren Disassembler gibt, wird das ohne Relocation-Directory nicht universell lösbar sein. Es gibt jedoch noch mehr Wege, Code zu einer .exe hinzuzufügen. Wobei ich mir auch nicht vorstellen kann, dass eine weitere Section auch nur irgendwas verändert am "FUD-Grad".Code:mov eax, 11223344 xor eax, 0deadbeef call eax
I can haz RCE?
-
22.09.2008, 18:00 #3Anfänger
- Registriert seit
- 04.08.2008
- Beiträge
- 23
Doch doch, wenn ich mit meinem Crypter Pi crypte, erkennt es Antivir. Wenn ich allerdings die Sectionanzahl um 1 erhöhe, dann erkennt es Antivr nimmer. XD
-
22.09.2008, 18:07 #4I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Könnte daran liegen, dass sich der Overlay verschiebt - ansonsten mal wieder die eher unbegründete Heuristic von AntiVir eben.
I can haz RCE?
-
23.09.2008, 17:33 #5Anfänger
- Registriert seit
- 04.08.2008
- Beiträge
- 23
Gehen nicht diese Assembler Befehle auf die Virtuellen Speicheradressen zurück?
Denn wenn ich den Header vergrößern will, brauch ich die V Speicher Adressen ja nicht ändern und somit wären diese Assemblerbefehle doch kein Problem.
? - ? - ?
-
23.09.2008, 17:45 #6I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Kleines Beispiel:
Links der Opcode, rechts der Opcode. Verschiebt sich nun der Header, muss sich auch diese Adresse verschieben. Wie man sieht, ist die Adresse der zu zuweisenden Variable natürlich im Opcode vermerkt.Code:8915 54A04600 mov dword ptr [46A054], edx
Das Problem dabei: Man müsste alle Befehle 100% sicher disassemblieren können, um die Befehle herauszufinden, bei denen Adressen verschoben werden müssen. Jedoch:
Da es keine hunterprozentig sicheren Disassembler gibt, wird das ohne Relocation-Directory nicht universell lösbar sein.I can haz RCE?
-
24.09.2008, 13:35 #7Anfänger
- Registriert seit
- 04.08.2008
- Beiträge
- 23
ok, muss ich nach was anderem suchen
-
24.09.2008, 13:41 #8I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Du könntest zum Beispiel die Größe der letzten Section ändern.Es gibt jedoch noch mehr Wege, Code zu einer .exe hinzuzufügen.
I can haz RCE?
Zitieren
