How to move a Entrypoint - by CrazyBoris

[CrazyBoris]

Hi guys^^

Hier spricht Boris. CrazyBoris 8-)
So.. dass is also mein erstes Tutorial.
Es ist eigentlich ziemlich Noob-proof.
Thema: Wie verschiebe ich einen Entry Point? bzw. Wie modde ich meine Tools?
---------------------------------------------------------------------------------------------------------------------
Let's fetz ;P
Also was wir brauchen:

- OllyDbg
- ResHacker
- ExeSax
- PE Lord

hier habe ich euch die Tools geuppt:
TOOLZ
diese Tools findet ihr auch alle unter http://shark-bite.6x.to
(boehser enkel, fall du das liest, ich bin dein größter fan *lol*)

So.. jetz aber.. Es gibt 2 verschieden "Arten" von Cryptern.
Variante 1: Hier hat man die Crypteroberfläche und die Stub, welche sich extern
befindet.
Variante 2: Hier hat man nur ein File. Es beinhaltet die Crypteroberfläche und außerdem
findet sich hier die Stub intern.

Wesentlich umständlicher ist die Variante 2 zu modden. Aber dazu später
Wir fangen an:

Wir öffnen das Programm "Reshack"
Wir ziehen dann das eine File (Var. 2) in die Bo (Benutzeroberfläche) des ResHack.
Jetzt wird uns angezeigt, was sich alles in dieser Datei befindet (Icon usw...)
Wir klicken oben im Reiter auf "Action". Dann auf "Save all ressources".
Wir speichern die Ressourcen nun in einem erstellten Ordner, den wir "Res"
nennen.
Wir schließen den RH (Reshacker) wieder und öffnen den Ordner "Res".
In diesem befinden sich nun die Ressourcen dess Crypters. Für uns ist data1.bin
wichtig! "data1.bin" ist also die Stub des Crypters von Variante 2.
Ab jetzt kannst du auch mit der Variante 1 loslegen.
Die Arbeitsschritte bleiben bis zu einem Punkt gleich.

Wir ziehen die Stub (entweder "data1.bin" oder "stub.exe") in das Programm
OllyDbg. Wir sehen nun eine markierte Zeile. Diese Zeile wird mit "PUSH"
bezeichnet. Die Zeile darunter ist für uns ebenfalls essentiell ("MOVE").
Doppelklick auf die PUSH-Zeile. Inhalt des Fensters kopieren (Keyboard-Cowboys
wie ich machen [Strg+C] ;-)) und wir fügen das kopierte in ein extra geöffnetes
Word Dokument ein.
Das gleiche machen wir mit der "MOVE"-Zeile :-D
Dann müssen wir beide Zeilen markieren. Rechtsklick -> Binary -> Fill with NOP's
Danach gehen wir nach gaaanz unten wo wir "DB00" Stellen finden.
Wenn du solche stellen nich findest.. Tja.. Pech gehabt o.O
Dann ist die Stub wohl nicht mit Visual BASIC programmiert worden.

Wir doppelklicken eine solche Zeile und fügen den kopierten Push Inhalt
ein. Enter drücken und den kopierten Move Inhalt in die nächste Zeile einfügen.
Nachdem wir dies getan haben, klicken wir auf die neue Push-Zeile.
Klick auf Zeile -> [Strg + C]
Den kopierten Inhalt fügen wir in eine neu Zeile unseres Word Doc ein.
Nun einfach auf i-eine Zeile klicken -> Rechtsklick -> Copy to executable ->
All modifications.
Nun müsste sich ein neues Fenster öffnen. Wir schließen das Fenster.
OllyDbg frägt uns ob wir unsere Änderungen speichern wollen.
Wir klicken JA und speichern dieses File unter dem gleichen Namen ab.
Aber nun schließen wir OllyDbg ganz.
--------------------------------------------------------------------------------------------------------------
Wir haben jetzt den Entrypoint verschoben. Damit ist es aber noch nicht getan.
Wir haben ihn zwar verschoben, aber wenn du nun die Stub verwendest, wirst
Du nicht viel anfangen können damit. Wir müssen also noch die Einstellungen
ändern, damit nun auch wirklich der neue EP (Entrypoint) verwendet wird.
Dazu brauchen Wir den PE-Lord. Wir öffnen ihn. Oben rechts den Button klicken
auf dem „PE Editor“ steht. Wir wählen das File aus, welches wir mit OllyDbg bearbeitet
haben. So.. In dem neu geöffnetem Fenster sehen wir links
oben die Bezeichnung „Entrypoint“. Rechts daneben stehen die Koordinaten
des alten EP’s. Nun öffnen wir unser Word Dokument und sehen uns unsere
letzte Zeile darin an. Wir kopieren die letzten 4 Ziffern der 1.en Zahl von dieser
Zeile. Wir gehen wieder zum PE Lord und fügen das kopierte in die EP-Zeile
ein. Zum Beispiel: Im Word: 000yyyy. Im PE Lord: 000xxxx
Wenn du das obige richtig gemacht hast heißt es dann im PE Lord: 000yyyy.
Wir klicken auf „Save“ und beenden den PE Lord.
Zu diesem Zeitpunkt sind wir mit Variante 1 fertig. Sprich: Die Stub wieder
in den Crypterordner verschieben und Spaß haben ;-)

Aber mit Variante 2 sind wir noch nicht fertig, da sich die Stub („data1.bin“)
immer noch extern des Crypters befindet. Das müssen wir noch ändern.
Wir ändern die Endung der data1.bin in data1.bin.exe!
Das wird benötigt, um die Datei mit dem ExeSax zu öffnen.
Das machen wir doch gleich mal =)

Oh halt! Zuerst erstellen wir einen Ordner den wir „Sax“ nennen.
Ihr könnt ihn auch „CrazyBoris_ist_der_aller_coolste“ nennen. Dies ist euch
Überlassen ;-) Wir öffnen im Input File unser Olly-File.
Beim Output File speichern wir das File dann unter gleichem Namen
in unserem erstellten Ordner.
Aber als Einstellung brauchen wir noch
---> Remove tail data
---> Encrypt .code and .data only
Dann klicken wir auf “Encrypt”
Wenn wir dass getan haben, schließen wir ExeSax wieder.
Wir gehen in den Ordner „Sax“ und bennen das File wieder um in: „data1.bin“
Nun brauchen wir wieder unseren ResHacker.
Wir ziehen Variante 2 in die Bo des ResHackers.
Auf der linken Seite sehen wir nun verschieden Ordner.
Wir klicken auf Custom und die darauf folgenden Ordner bis wir ein bestimmtes File
sehen. Wir klicken es an. Jetzt wird uns eine ziemlich laaange Zahlenreihenfolge gezeigt.
Das hat uns aber nicht zu interessieren. Wir klicken mit der Rechten Maustaste auf diese
Blume oder was das is o.O und gehen auf „Replace Ressource“.
Wir klicken nun auf „Open File with new ressource“ und wählen das File aus dem „Sax“
Ordner.
Wir tragen nun folgendes ein:
Ressource type: „CUSTOM“
Ressource name: “den namen des unterordners (z.B 103)”
Ressource language: „Namen der [Blume] (z.B. 1031)“
Wir klicken auf „Replace“, speichern das File unter „Modded-Version“ und verlassen nun
den ResHacker.
-------------------------------------------------------------------------------------------------------------------------
Das war’s. Jetzt könnt ihr auch mit Variante 2 Spaß haben

Ich hoffe es war einigermaßen verständlich =)

Greetz,

CrazyBoris

Bevor ihr dieses Tut verbreitet, fragt mich bitte erst um Erlaubnis.
Kontakt: Personal Mail an CrazyBoris auf http://free-hack.com
Der wahrscheinlich besten URL der Welt

[gORDon_vdLg]

Wenn du solche stellen nich findest.. Tja.. Pech gehabt o.O
Dann ist die Stub wohl nicht mit Visual BASIC programmiert worden.

ja nur schade dass das damit überhaupt nichts zu tun hat...:p

[c1ox]

OT: gordon deine page is down :>

[LeadOr]

ich habs mir nicht geladen aber ich glaub ein tut mit genau dem selben inhalt gibt es schon ^^

zumindest idie programme sind diesselben also wirds nich groß anders sein vlt isses ja besser erklärt ich lads mir später

[Bozok]

Deine Methode ist ziemlich sinnlos... Die AVs haben aufegrüstet....
Was du brauchst DAMIT ES WIRKLICH was bring ist:
Mehrere JMPs quer durch die Datei

[gORDon_vdLg]

was hintert uns daran quer durch die datei zu jumpen? wenn man langeweile hat kein problem =P wenn man jetzt noch die asm codes am ep noch n bisschen ändert (also alternativen finden die den gleichen effekt haben oder reihenfolge tauschen) trickst man auch noch ganz leicht tools wie z.B. PEiD aus...

OT: c1ox -> dem bin ich mir bewusst, die wurde von bplaced gesperrt weil ich ja so krasse hackertools programmiert habe xDD neue page ist in arbeit...

[l0dsb]

PEiD auszutricksen ist ja kein Hexenwerk, da es nun mal lediglich mit Signaturen arbeitet. Bei Heuristics kann die Sache anders aussehen.

Besonders mit jmp's wäre ich vorsichtig, da viele AVs auch diese selbst als verdächtig einstufen (z. B. unconditional jump in eine andere Section (am "besten" die letzte) am EP). Alternativen sollte man hier schon verwenden.

[Unlimited]

Hi guys^^

Nun einfach auf i-eine Zeile klicken -> Rechtsklick -> Copy to executable ->
All modifications.
Nun müsste sich ein neues Fenster öffnen. Wir schließen das Fenster.
OllyDbg frägt uns ob wir unsere Änderungen speichern wollen.
Wir klicken JA und speichern dieses File unter dem gleichen Namen ab.
Aber nun schließen wir OllyDbg ganz.

ich kann bei meiner exe das nicht machen. ich kann nur "copy to executable"->"Selection".
Woran liegt das?
Das habe ich immer bei meinen exen, ich mache also generell etwas falsch.
Oder liegt es daran das mein Server schon gecryptet ist und ich versuche mit olly noch mehr zu modden ?

[gORDon_vdLg]

dann kannst du entweder den code markieren oder ein plugin benutzen das den button immer enabled.

[Freak1936]

ich kann bei meiner exe das nicht machen. ich kann nur "copy to executable"->"Selection".
Woran liegt das?
Das habe ich immer bei meinen exen, ich mache also generell etwas falsch.
Oder liegt es daran das mein Server schon gecryptet ist und ich versuche mit olly noch mehr zu modden ?

Kann es sein das du die Black EDition von OllyDbg (OllyDbgBlk) nutzt ?
Da habe ich nämlich das gleiche problem, aber mit dem normalen OllyDbg 1.10 gehts, da kann ich auch als > all modifications speichern.
Hab hier im Board auch mal gelesen das es sich dabei um einen bug handeln soll ...