Ergebnis 1 bis 10 von 88

Hybrid-Darstellung

  1. 27.04.2010, 13:32 #1
    gf0x
    gf0x ist offline
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    Ich sehe Dizzy meldet sich hier gleich. Aber was solls x)

    Ich habe in dem Paper erwähnt, dass man - wenn möglich - nicht den Crypter selbst (mit der Stub) modden soll, sondern nur die Stub.

    Kleiner Auszug aus dem Paper:

    Wir möchten natürlich nicht den Builder (Der die Stub enthält) mitmodden, sondern einzig und allein nur die Stub.
    Würden wir trotzdem nur die .exe in OllyDbg bearbeiten, würden wir nichtnur die Stub ändern, sondern auch die Building-Einstellungen etc.
    All dies was das Programm beinhaltet würden wir ohne dem ausbauen der Stub umändern – was schlussendlich zu Fehlern usw. führen würde.
    Und das wollen wir doch wohl nicht, oder?
    Heißt, wenn wir nun die einzelne .exe modden würden, wäre das Ergebnis nicht das was wir wollen.
    Denn wir würden durch das modden evtl. andere Faktoren angreifen und den Builder letztendlich zerschiessen.
    Zitieren Zitieren
  2. 27.04.2010, 13:53 #2
    DizzY_D
    DizzY_D ist offline
    Der Jesus der Informatik
    Registriert seit
    01.12.2007
    Beiträge
    216

    Standard

    Man hat nur zwei Möglichkeiten als Programmierer die Stub unter zu bringen:
    Intern oder extern. Extern wäre dann in Form einer Datei, die bei dem Crypter bei war.
    Logischerweise muss diese Datei nicht "Stub.exe" heißen. Der Name spielt keine Rolle. Du solltest also, falls noch andere Dateien im Ordner sind, diese ruhig mal in den Hexeditor laden, un nachschauen, ob es sich um eine PE handelt. Wenn ja wird das wahrscheinlich die Stub sein.
    Wenn sie intern mitgeführt wird, ist die erste Anlaufstelle Reshack.
    Auch da gilt, wie die Resource heißt, oder wo sie sich befindet spielt keine Rolle. Also einfach überall nachschauen, ob eine PE Datei vorhanden ist.
    Wenn du da aucn nicht fündig wirst, würde ich per Hexeditor im Builder einfach nach "MZ" oder "PE" suchen, um alle anderen Möglichkeiten nach PE Dateien im Builder abzugrasen.
    Solltest du auch so noch nicht fündig geworden sein, wird die Stub wahrscheinlich in verschlüsselter Form gespeichert sein.
    Das kann einerseits eine selbst implementierte Verschlüsselung sein, oder eben ein Packer/Protector.
    Darüber sollten Tools wie PEiD (google) Aufschluss geben.
    In beiden Fällen sind allersings mindestens Grundkentnisse in Olly Voraussetzung. Es sei denn es handelt sich um UPX oder ähnliche Packer, für die 100e Unpacker im Netz kursieren.

    Probier das alles nochmal aus, oder lass es und such dir ein neues Target.

    MfG DizzY_D





    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln