Seit wann muss ein Crypter sections realignen?
Seit wann muss ein Crypter sections realignen?
Ich verzweifle hier langsam :S Welche aufgaben hat der builder denn genau? außer die stub aus den resources zu lesen und dann die datei die gecryptet werden soll anhängen? Die datei die gecryptet werden soll muss ja mit einem bestimmten alignment geladen werden oder? also ich spreche davon das die größe der header und die virtuelle größe der sections gefixed werden muss. Da sich die speicher addressen ja ändern wenn die exe vom speicher gestartet werden.. hoffe jemand kann mir helfen.
Ein simpler Builder hat nur die Aufgabe die Stub aus seiner Resource zu laden , dann auf die HDD zu schreiben , das gewünschte File zu Verschlüsseln und dieses verschlüsselte File dann in die Resourcen der auf die HDD gedropte Stub zu schreiben.
Wenn du mit Resourcen arbeitest brauchst du den Header nicht anzupassen. Die VB C&P Crypter sollten das machen weil die meisten mit EOF Daten Arbeiten und so der Header nicht mehr mit den "echten" Werten übereinstimmt ( führt zu Detections ).
~Zer0Flag
Okay danke Zero, jetzt meine frage , wenn ich diese detections umgehen möchte, muss ich doch wenn ich im builder die datei zum crypten lade , gleich die SizeOfHeaders und die VirtualSize mithilfe des SectionAlignments berechnen oder? dann encrypte ich den exe buffer und hänge ihn als resource an meine stub die schon auf die HDD geschrieben wurde
Wenn du den "exe buffer" als Resource anhängst brauchst du den PE-Header nicht anzupassen. Das musst du nur machen wenn du z.B. mit EOF arbeitest.
~Zer0Flag
Danke für eure hilfe Ich kann jetzt z. B. calc.exe auf windows 7 ohne probleme aus dem speicher laden
jetzt werde ich mich an das End of File problem setzen