[S] Crypter Source C++

[EBFE]

Danke, das bestätigt meine Vermutungen. Unter diesen Gesuchtspunkten wäre die Verschlüsselung aller Sections (evtl muss man da noch auf die IAT achten?) und die Platzierung der Entschlüsselungsroutine innerhalb einer Codecave (inkl junkcode beim jump dorthin) empfehlenswert.

Rein "ökonomisch" gesehen lohnt es sich wohl nicht - das macht afaik auch nicht mehr "fud". Habe damit noch vor ca. 1.5 Jahren rumgespielt (auch als Programm umgesetzt). Zum einen gibt es einige große Linker, die gerne die IAT in der Codesection platzieren (VB) - so dass man die Codesection dann nicht verschlüsseln kann, zum anderen wird die "Codecave-ierung" des OEP bzw. Enschlüsselungsroutine auch gerne von Heuristiken erkannt (ok, per Hand lässt sich das natürlich um einiges besser machen als per Programm, allerdings ist die Codecavegröße sowie Position meistens sehr beschränkt).
Nicht zuletzt reicht i.R die IAT schon zur Erkennung aus.

Das Problem mit den "richtigen" Cryptern, die die IAT mitverschlüsseln sind imho die ganzen Ausnahmen bei den Linkern und Imports. Zum einen gibt es noch BoundImports, TLS, JmpTables und ähnliche Spässe die mir jetzt nicht in den Sinn kommen (da es schon länger her ist ). Vor allem kleinere Details, wenn man seinen PE-Crypter Win2k, WinXP, Vista, Win7 kompatibel machen möchte.

Von rein technischer Seite gesehen ist es natürlich interessant und auch empfehlenswert damit rumzuspielen - auch wenn man imho gerade in Olly "manuell" viel komplexere Sachen machen kann, als über programmatikale Umsetzung. Ganz zu schweigen davon, was man dabei so alles lernen kann. Nur dass die meisten Leute an der technischen Seite nicht interessiert sind

Meiner Meinung nach ist soetwas manuell in vereinfachter Art und Weise (MUPing richtig?)

also MUPing ist für mich "manual unpacking" - also das Entfernen von Protectoren (richtigen, also ASPro, Themida, Armadillo usw) per Hand, ohne Strpper/Unpacker Tools