[Paper] Executable File-Modding by gf0x

[gf0x]

### Der vorherige Thread musste wieder gelöscht werden, weil es ein kleines Problem gab ###

Einige Leute kamen bereits in meinem Vorstellungs-Thread => http://free-hack.com/text-tutorials/...mack-gf0x.html

in den Geschmack einen kleinen Teil meines Papers probe zu lesen.

Leider bin ich nicht sehr präzise mit dem Release-Datum, da viele Sachen mir in den weg kamen.

Zuerst war es die Sache mit der Schule und meinem Abschluss den ich Gott sei Dank auch erreicht habe, dann war noch die Sache mit meinem Laptop der aufeinmal kaputt ging und ich fast 3 Monate nicht am Paper arbeiten konnte.
Dann musste ich unerwartet für 2 Monate in ein anderes Land reisen - keine Sorge nicht wegen rechtlichen Dinge, sondern wegen Familliären Gründen.

Zwar könnte ich die Liste ewig weiterführen, aber ich möchte euch natürlich nur mein Paper vorstellen

-----

Mein neustes Paper beschäftigt sich mit den Methoden des Executable File-Modding's.
Da viele User immer mehr Interesse zeigten und ich natürlich der Community etwas gutes tu wollte, entschloss ich mich dazu ein Paper gerade hierfür zu schreiben..

Das Ergebnis sind satte 58 Seiten, vollgepackt mit Informationen, Screenshots und Source-Codes.
Neben Entry-Point verschieben und Manual Packing, werde ich noch auf das Thema TR/Dropper.Gen, Dump erstellen, Fake-Signatur usw. eingehen.

Ebenfalls werde ich noch alle Programme bereitstellen, die ich für das Paper verwendet habe.

Ich stelle euch ein RAR-Archiv zur Vefügung, was folgendes enthält:

Das Paper im PDF-Format
Ein zweites Paper - mit einem speziellen Thema
Programme
Source-Codes

DL-Link [Uploaded] => Executable File-Modding by gf0x.rar ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ...

Ich bitte um ein Feedback und vorallem um Konstruktive Kritik und/oder Verbesserungsvorschläge.

Euer,
gf0x

[kingChrisyLive]

Die Datei konnte nicht gefunden werden,bekomme ich als Meldung.

[TwoHomis]

Der Link funzt bei mir nicht?
Die Dateien unter uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ... konnten nicht gefunden werden.

[The_Fury]

Der Link funktioniert wunderbar.

Schau's mir mal an editiere Feedback rein.

MfG Fury

[gf0x]

Komisch also bei mir funktioniert alles prima? :/

[100]

Beim Download kommt nen Fehler, das liegt aber an Uploaded. Lads nochmal hoch bitte, ansonsten gehts vielleicht später wieder.

/edit
Beim 3. mal gings nun, also einfach munter weiter versuchen
An dieser Stelle schonmal Danke für deine Mühe!

[TwoHomis]

Vill uppt ja wer auf RS or whatever"!
Schaue späder nochmal rein.

Edit:

@100

hast recht hat geklappt.

[Fixi]

Hier bitte für alle die es auf Rs haben wollen oder Probleme mit Ul.to haben:

RapidShare: 1-CLICK Web hosting - Easy Filehosting



Werde mir das Paper heute Abend mal anschauen und dann Feedback geben aber das hat jetzt so lange gedauert das muss was richtig Gutes sein!!

[G36KV]

Na dann hier die Kritik:

Tools
Binär-Dezimal-Hex-Rechner -> sinnlose beigabe, total nutzlos das ding weil der win taschenrechner alles bietet
CffExplorer Installer -> sinnlose beigabe, url hätte gereicht
Dsplit -> gut beigabe
2mal Olly -> sinnlos
ResHacker -> sinnlose beigabe, url hätte gereicht
Windows 7 Taschenrechner -> kein kommentar....

Source-Code
Da hab ich schon viel bessere sourcecodes in public tutorials gesehen. Sind alles so 0815 Dinger.
Rückverweis.pdf -> Kein Syntax highlight + allgemein schlecht formatierter code, hätte eigentlich in das hauptpaper reingehört...

Paper
Allgemein: Sehr Übersichtlich, gut geschrieben, Fußnoten sind gut

S.4: Erster kleiner Fehler bei deinem "Tipp" für 64bit systeme. Das stimmt so nicht, es funktioniert genauso gut.

S.9: Schlechtes Beispiel VB6, andere datei wäre viel besser gewesen dann hättest du auch den "Rückverweis" zeigen können.

S.14:

Code:

/NOTRADEMARK
Avoids LordPE from pasting a trademark into PE files. This is usually 
done after the following things:
 - full module dump
 - rebuilding
 - add imports
 - doing a full dump with the Dumper Server

S.22 hast du ja wirklich 1:1 von dizzys tutorial kopiert... dann hättest es auch weglassen können?

S. 28 Dein Code wird wohl falsch sein:

jmp 4960BA
hier eax und ecx register veränderungen
jmp 4960d3
cmp ecx, 1 <- ecx wird niemals 1 sein
je EP <- wird niemals gesprungen
retn <- springt zur adresse auf dem stack, die bei dir ins Nirgendwo zeigt?

S. 38: Wäre ich ein AV würde ich prüfen ob die code section "writeable" ist, wenn ja -> Erkannt.

S. 54 warum zum Teufel benutz du die alte olly version?

Fazit: Das Paper wurde ja im Vorraus sehr hochgelobt, aber irgendwie wird es dem nicht gerecht. Vieles bzw. alles? hast du kopiert bzw. klar hast du es selber geschrieben, aber die ganzen Ideen sind nicht von dir. Möchte gerne mal wissen, was du daran wirklich selber gemacht hast...
Trotzdem ist es sicherlich brauchbar für Anfänger.

[TwoHomis]

@G36KV

Setzte dich mit gf0x zusammen und diskutiert darüber!
Am Ende verbessert Ihr noch alles und alles ist Tutti.