Advanced EXE Modding by DizzY_D

[G0dLik3]

also (ich) hab die detections gefunden und zwar:

RawSize:0000B000
RawOffset:00008000

des prob is wenn ich die änder bzw anpasse dann breake ich die stub oder sie geht nichtmehr ich hab bisher nur werte von sachen genommen die ud sind oder/und die eof an die rawsize + rawoffset angepasst

[Bozok]

ah ja hört sich doch nach was an

Ok haste einfach versucht eine neue section reinzubauen wo die EOF daten liegen?

[G0dLik3]

EDIT: ja is immer noch dropper

[eXe231]

Ich hab mal ne blöde Frage .. Und zwar wenn man jetzt zum Beispiel eine Stub von nem Crypter modden will, indem man wie in deinem Tutorial andere Signaturen in Ollydbg einfügt aber in Ollydbg keine 00 stellen(also in der Stub) findet was macht man dann?

PS: Dein Tutorial is echt gut geworden find ich ... is zwar etwas anspruchsvoller aber wenn man sich da mal in ruhe durcharbeitet versteht man eigentlich alles echt gut!

[DizzY_D]

Ne exe ohne CodeCaves ist sehr selten. Bist du sicher, dass du an der richtigen Stelle suchst? Meist sind am Ende der Codesection 00 Bytes vorhanden.

[eXe231]

Achso oke man darf auch die 00 Bytes am Ende des Codes nehmen Dann sind da natürlich welche.. war mir nur nicht klar weil du glaub in deinem Tutorial gesagt hast des das net so gut wär weil des manche AVs dann irgendwie checken

Hab noch ne Frage und zwar .. Kann man auch mehrere verschiedene Signaturen benutzen um die AVs zu täuschen oder zerstört man damit immer die zu moddene datei? (war jetzt ein paar mal bei mir so deswegen frag ich^^)

[Razorigga]

Saug's mir grade, aber ich muss jetzt nochmal weg und danach wird der PC erst morgen wieder bedient. Morgen editier ich dann mein Feedback rein.
MfG Razorigga

[marcel187]

Ich finde das Tutorial ist sehr gelungen 10/10.
1. Wenn ich die VB Msg Box Funktionen etc umleite, dann erkennt Avira die Stub immer noch. Ist das nur bei mir so oder auch bei anderen?
2. Wenn ich eine gefälschte Signatur einsetze und dahinter noch ein paar JMPs ändert sich nichts an der Detection der Stub. Alle AVs die die Stub vorher erkannt haben erkennen die Stub immer noch, obwohl ich so viele jmps und calls vor dem (OEP) habe.
3. Vielleicht könntest du noch erklären wie ich ein bestimmten Teil von Bytes decrypte und encrypte

mfg Marcel187

[Freak1936]

Das tut iss echt saugeil geworden, hab mich da mit mal ein wenig beschäftigt und bekomme meine stub 1/23 UD (http://virus-trap.org/) und 2/24 UD (http://scanner.novirusthanks.org/ [die stub war vorher eh schon FD])

Nur A-Squared und Ikarus schlagen noch an (Riskware.Win32.VBInject!IK) weiss einer wie man diese noch bypassen kann ?

Würde mich echt freuen, zu dem Tutorial noch einen zweiten Teil oder eine ergännzung zu sehen! Das neue Manuell unpacking Tut iss auch gut geworden, ziehts euch ruhig mal rein. OllyDBG wird da auch nochmal erklärt, eine gute Quelle für reversing Noobs.

THX nochmal an Dizzy_D

[DizzY_D]

Würde mich echt freuen, zu dem Tutorial noch einen zweiten Teil oder eine ergännzung zu sehen!

Mal schauen... Lasst euch überraschen

Nur A-Squared und Ikarus schlagen noch an (Riskware.Win32.VBInject!IK) weiss einer wie man diese noch bypassen kann ?

Ohne es jetzt genau zu wissen, würde ich die API-Namen verschlüsseln. Einfach mit der kleinen XOR Funktion drübergehen