PE-Fix: EOF korrekt einbinden. Oder: Manual Fixing von TR/Dropper.Gen

[EBFE]

So, nach einiger Internetabstinenz ein paar Antworten

sind das die einzigsten werte die man bei einem dropper ändern muss oder gibt es noch ein paar mehr ???

Eigentlich sind das die Werte, die Avira im Moment für die Droppererkennung nimmt. Kann sein, dass andere Scanner zusätzliche Prüfungen haben oder dass bei Avira in Zukunft noch etwas hinzukommt.
Sind aber im Prinzip alle Werte die geändert werden müssen, falls man Daten an eine Exe anhängt und das Ganze "korrekt" sein sollte.

wie bist du eig darauf gekommen das die sectionalignment und filealignment teilbar sein müssen ???

Steht in der MS Doku zum PE Format:

SizeOfImage The size (in bytes) of the image, including all headers, as the
image is loaded in memory. It must be a multiple of SectionAlignment.
...
SectionAlignment: The alignment (in bytes) of sections when they are loaded
into memory. It must be greater than or equal to FileAlignment. The default
is the page size for the architecture.
...
FileAlignment The alignment factor (in bytes) that is used to align the raw
data of sections in the image. The value should be a power of 2 between
512 and 64 K, inclusive. The default is 512. If the SectionAlignment is less
than the architecture's page size, then FileAlignment must match SectionA-
lignment.

Bzw. verstehe ich Alignment (http://en.wikipedia.org/wiki/Data_structure_alignment) eigentlich immer als "vielfaches/restlos_teilbar"

nochmal ein großes lob an dich

Danke

Im Praxisteil musste ich mich ein wenig zusammenreißen um alles zu verstehen, allerdings hab ich g00gle zum Freund<3

Danke,
Das Tut wurde unter einem gewissen Zeitdruck geschrieben - eventuell sind einige Teile wirklich unklar. Wenn du kurz erwähnen würdest, was unverständlich war, kann ich das überarbeiten.