Dropper.Gen in leerer Stub?

**nom** · 01.09.2010, 23:36

Hiho

Früher habe ich jede TR/Dropper.Gen Detection durch simples PE Fixing weg bekommen aber inzwischen bin ich am verzweifeln

Die Stub meines Stealers wird von Avira als TR/Dropper.Gen erkannt, obwohl weder EOF Daten noch Ressourcen angehängt/eingebunden sind. Es ist also nur die LEERE Stub die detected wird :/

könnte mir dabei bitte jemand helfen? Bin am verzweifeln

mfg
nom

**K-Gee** · 01.09.2010, 23:52

Liegt an deinen Assembly Infos (korrigiert mich wenn das nicht so heißt).
Änder dein OriginalProductName etc... mit ResHacker
Nicht das iwo noch Stub steht.
Dann sollte das eig. behoben werden.

**Barny** · 01.09.2010, 23:54

Hiho!
Es gab hier ma nen Tutorial, tut mri Leid ich weiß nicht merh von wem das war, aber das hieß "Stub Moddingfür Fortgeschrittene" oder sowas und ich mein der Autor fing mit "F" an. Da wurde beschrieben wie du das weg kriegst. Mehr kann ich dir leider auch nicht sagen, sry...

mfg

Barny

**100** · 01.09.2010, 23:59

Gfox? Genauer gf0x

**nom** · 02.09.2010, 00:06

assembly infos sind changed :x

**K-Gee** · 02.09.2010, 00:10

Encrypte deine Strings, Change deine Subs, Adde JunkCode, Adde Fake Module etc.

**nom** · 02.09.2010, 00:13

Habe ich alles schon getan aber es hat leider nichts gebracht is das selbe wie am anfang
Junkcode
Fakesubs
FakeAPIs
Fakemodules
Encrypted Strings
Andere auslese methode der EOF Daten

**Mofo** · 02.09.2010, 00:37

Zitat von K-Gee

Encrypte deine Strings, Change deine Subs, Adde JunkCode, Adde Fake Module etc.

Das hat absolut nichts mit der Dropper-Meldung zu tun

Die Pesize weicht einfach von der realsize ab, so einfach ist das..
Uppe mal deine Stub, dann sag ich dir wie du das genau bei dir ändern kannst, oder du versuchst es mal hiermit

**nom** · 02.09.2010, 12:24

RapidShare: 1-CLICK Web hosting - Easy Filehosting
MD5: 7B22147E19D87E061FBA887AE80FF112

den PEFixer hab ich Probiert (Deinen und den von EBFE) beide haben nichts gebracht. Deiner sagte sogar, es ist nichts zu fixen

**EBFE** · 02.09.2010, 15:54

Zitat von nom

Habe ich alles schon getan aber es hat leider nichts gebracht is das selbe wie am anfang
Junkcode
...

warum nicht zuerst die einfachsten Dinge abarbeiten? Wurden ja ganz am Anfang erwähnt:

Zitat von K-Gee

Liegt an deinen Assembly Infos (korrigiert mich wenn das nicht so heißt).
Änder dein OriginalProductName etc... mit ResHacker
Nicht das iwo noch Stub steht.

Du hast 3 x mal in der Exe "Stub" stehen:

Code:

 
00002090              73 74 75 62 00 48 69 6A 61 63 6B         stub.Hijack

und

Code:

000233B0  6E 00 74 00 65 00 72 00 6E 00 61 00 6C 00 4E 00  n.t.e.r.n.a.l.N.
000233C0  61 00 6D 00 65 00 00 00 73 00 74 00 75 00 62 00  a.m.e...s.t.u.b.
000233D0  00 00 00 00 3C 00 12 00 01 00 4F 00 72 00 69 00  ....<...O.r.i.
000233E0  67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00  g.i.n.a.l.F.i.l.
000233F0  65 00 6E 00 61 00 6D 00 65 00 00 00 73 00 74 00  e.n.a.m.e...s.t.
00023400  75 00 62 00 2E 00 64 00 61 00 74 00 00 00 00 00  u.b...d.a.t.....

überschreibt man "Stub" mit irgendwas anderem, bekommt man das raus:

(im übrigen würde ich keine Links zu den Scans posten - denn gerade Links mit vielen Besuchern sind i.R der beste Hinweis, dass die Files genauer unter die Lupe genommen werden sollten

)

Thema: Dropper.Gen in leerer Stub?

Themen-Optionen

Anzeige

Dropper.Gen in leerer Stub?

Ähnliche Themen

[s] Dropper.gen wegmachen

TR.Dropper.Gen Theorie

Hallo ich Brauche Bart Simpsons vor leerer Tafel

Stichworte

Berechtigungen