EP in DOS Stub umleitbar?

[Deshoax]

Hey, wollte ma fragen ob es möglich ist, dass man den EP in die DOS Stub umleitet, da die encryption Routine vorher reinpackt, und dann wieder zum OEP springt? Geht das?

MfG

Deshoax

[Gargarensis]

ich glaub da gabs ma n tool für, bin mir aber ned sicher =)

[l0dsb]

Das geht, ist seit Jahren verwendet und detected wie noch was. Warum sollte es auch nicht gehen?!? 0o

[Deshoax]

Hmm, würdest du mir sagen, welche Methoden, den Code zu verstecken, nicht oder weniger detected sind?

[EBFE]

Hab das mal bei meinen PE-Crypter Versuchen verwendet (Entschlüsselungsroutine in die DOS Stub rein und EP drauf) - und ja, es wird heuristisch detected wie sonstwas .
Du kannst allerdings:
1)neue Section adden/letzte Section vergrößern und Code reinschreiben (EP auf letzte Section mit Code => wird heuristisch detected)
2)Codecaves suchen und Code einfügen - i.R nicht so auffällig.
3)Kombos bilden - da Codecaves meistens nicht so groß sind, Teile des Codes reinschreiben (junkcode, loops usw) und die Hauptroutine in der letzten Section platzieren . Da springt der Code aus der Codecave im Endeffekt hin. Sollte am unauffälligsten sein, sofern man am Anfang genügen "Junkcode" hat (also nicht direkt nach 4-5 Instruktions zum Hauptcode springt).