Na dann hier die Kritik:
Tools
Binär-Dezimal-Hex-Rechner -> sinnlose beigabe, total nutzlos das ding weil der win taschenrechner alles bietet
CffExplorer Installer -> sinnlose beigabe, url hätte gereicht
Dsplit -> gut beigabe
2mal Olly -> sinnlos
ResHacker -> sinnlose beigabe, url hätte gereicht
Windows 7 Taschenrechner -> kein kommentar....
Source-Code
Da hab ich schon viel bessere sourcecodes in public tutorials gesehen. Sind alles so 0815 Dinger.
Rückverweis.pdf -> Kein Syntax highlight + allgemein schlecht formatierter code, hätte eigentlich in das hauptpaper reingehört...
Paper
Allgemein: Sehr Übersichtlich, gut geschrieben, Fußnoten sind gut
S.4: Erster kleiner Fehler bei deinem "Tipp" für 64bit systeme. Das stimmt so nicht, es funktioniert genauso gut.
S.9: Schlechtes Beispiel VB6, andere datei wäre viel besser gewesen dann hättest du auch den "Rückverweis" zeigen können.
S.14:
Code:
/NOTRADEMARK
Avoids LordPE from pasting a trademark into PE files. This is usually
done after the following things:
- full module dump
- rebuilding
- add imports
- doing a full dump with the Dumper Server
S.22 hast du ja wirklich 1:1 von dizzys tutorial kopiert... dann hättest es auch weglassen können?
S. 28 Dein Code wird wohl falsch sein:
jmp 4960BA
hier eax und ecx register veränderungen
jmp 4960d3
cmp ecx, 1 <- ecx wird niemals 1 sein
je EP <- wird niemals gesprungen
retn <- springt zur adresse auf dem stack, die bei dir ins Nirgendwo zeigt?
S. 38: Wäre ich ein AV würde ich prüfen ob die code section "writeable" ist, wenn ja -> Erkannt.
S. 54 warum zum Teufel benutz du die alte olly version?
Fazit: Das Paper wurde ja im Vorraus sehr hochgelobt, aber irgendwie wird es dem nicht gerecht. Vieles bzw. alles? hast du kopiert bzw. klar hast du es selber geschrieben, aber die ganzen Ideen sind nicht von dir. Möchte gerne mal wissen, was du daran wirklich selber gemacht hast...
Trotzdem ist es sicherlich brauchbar für Anfänger.