Modding Paper - Kleiner Vorgeschmack :) by gf0x

**kalachnikov** · 27.04.2010, 13:35

Ja macht auch Sinn, da ja eig. fast nausschließlich die Stub den Server FUD hält und macht.

**DizzY_D** · 27.04.2010, 13:53

Man hat nur zwei Möglichkeiten als Programmierer die Stub unter zu bringen:
Intern oder extern. Extern wäre dann in Form einer Datei, die bei dem Crypter bei war.
Logischerweise muss diese Datei nicht "Stub.exe" heißen. Der Name spielt keine Rolle. Du solltest also, falls noch andere Dateien im Ordner sind, diese ruhig mal in den Hexeditor laden, un nachschauen, ob es sich um eine PE handelt. Wenn ja wird das wahrscheinlich die Stub sein.
Wenn sie intern mitgeführt wird, ist die erste Anlaufstelle Reshack.
Auch da gilt, wie die Resource heißt, oder wo sie sich befindet spielt keine Rolle. Also einfach überall nachschauen, ob eine PE Datei vorhanden ist.
Wenn du da aucn nicht fündig wirst, würde ich per Hexeditor im Builder einfach nach "MZ" oder "PE" suchen, um alle anderen Möglichkeiten nach PE Dateien im Builder abzugrasen.
Solltest du auch so noch nicht fündig geworden sein, wird die Stub wahrscheinlich in verschlüsselter Form gespeichert sein.
Das kann einerseits eine selbst implementierte Verschlüsselung sein, oder eben ein Packer/Protector.
Darüber sollten Tools wie PEiD (google) Aufschluss geben.
In beiden Fällen sind allersings mindestens Grundkentnisse in Olly Voraussetzung. Es sei denn es handelt sich um UPX oder ähnliche Packer, für die 100e Unpacker im Netz kursieren.

Probier das alles nochmal aus, oder lass es und such dir ein neues Target.

MfG DizzY_D

**kalachnikov** · 27.04.2010, 14:12

Soweit verständlich. Die ersten beiden Bytes beinhalten die Zeichenkette "MZ" welche eine (unter DOS) ausführbare Datei identifizieren, die letzten 4 Bytes zeigen auf den Anfang des PE-Headers.
Punkto Erkennung der Stub: Es ist ja offensichtlich, dass die extern angehängte "Stub" nicht gleich den Dateinamen "Stub" hat oder haben muss. Man kann Sie auch an der Größe der Bytes erkennen.

Man kann ja auch das gesamte PE-HEader zur nächsten 512-Byte-Grenze "aufblasen". EIne PE-Datei ist ja bekanntlich, noch bevor die Sections enthalten sind, mindestens 512 oder 1024 Byte groß. Man kann in jeder Section die Datei um 512 Byte vergrößern (kleinste Wert für Section Alignment in der Datei ist ja 512 Bytes groß

).

Wenn ich eine PE-Datei gefunden haben soll, die ich modden könnte, bei welchen Sektionen müsste ich da ansetzen.? Den Section Header oder die Daten der Sektion selbst?

**BlackCobra** · 27.04.2010, 15:11

KLICK MICH HART Ich habe euch hier mal eine Website rausgesucht auf der es alle möglichen unpacker gibt. Falls der Crypter gepackt ist einfach den section name mit PEID angucken oder unten das Ergebniss, falls nicht "nothing found" dort steht.

**DizzY_D** · 27.04.2010, 16:29

Zitat von kalachnikov

Wenn ich eine PE-Datei gefunden haben soll, die ich modden könnte, bei welchen Sektionen müsste ich da ansetzen.? Den Section Header oder die Daten der Sektion selbst?

Das kommt auf die Detections an.
Aviras TR/Dropper.Gen liegt meistens an auffälligen Werten im PE Header selbst. Die meisten Detections basieren allerdings auf Signaturen in der Code Section.
Es kann natürlich auch sein, dass bestimmte Strings in der Data oder Resource Section erkannt werden.
Bei den ganzen verschiedenen Techniken, die die AVs heute einsetzen gibt es keinen generellen Ansatzpunkt mehr.
Trotzdem würde ich bei der Codesection anfangen nach Auffälligkeiten zu suchen.

**cookie-exploit** · 27.04.2010, 19:55

wie siehts denn mit dem paper aus?^^
..bist du mittlerweile fertig geworden? :p

**kalachnikov** · 28.04.2010, 16:01

Zitat von DizzY_D

Das kommt auf die Detections an.
Aviras TR/Dropper.Gen liegt meistens an auffälligen Werten im PE Header selbst. Die meisten Detections basieren allerdings auf Signaturen in der Code Section.
Es kann natürlich auch sein, dass bestimmte Strings in der Data oder Resource Section erkannt werden.
Bei den ganzen verschiedenen Techniken, die die AVs heute einsetzen gibt es keinen generellen Ansatzpunkt mehr.
Trotzdem würde ich bei der Codesection anfangen nach Auffälligkeiten zu suchen.

Ok, werde mich dann mal demnächst ransetzen.
Das mit dem TR/Dropper.Gen ist mittlerweile auch nicht mehr allzu leicht zu umgehen. Da hat sich Avira was besseres einfallen lassen um solch Dinge zu vermeiden. (auffälige Werte im Header der PE-Datei beseitigt, leider ohne Erfolg) Werd dann mal in der Code Section anfangen.

BlackCobra
Link funktioniert bei mir nicht, Site wahrscheinlich down.

**cookie-exploit** · 28.04.2010, 16:44

Zitat von kalachnikov

BlackCobra
Link funktioniert bei mir nicht, Site wahrscheinlich down.

Die Seite ist nicht down

**~~gf0x~~** · 09.05.2010, 02:08

So mittlerweile bin ich bei Seite 38 angelangt.

Habe am Dienstag meine vorletzte schriftliche Prüfung und verlängertes Wochenende (Mittwoch - Montag frei), inder Zeit denke, bin ich fertig damit und lasse es erst von ein paar "Experten" durchchecken ggf. verbessern und dann veröffentlichen

Weitere Infos könnt ihr in der Zeit auch auf meinem Twitter-Kanal einsehen

**cookie-exploit** · 09.05.2010, 16:14

Cool...ich freue mich schon =)

Und viel Glück bei der Prüfung

Thema: Modding Paper - Kleiner Vorgeschmack :) by gf0x

Themen-Optionen

Anzeige

Stichworte

Berechtigungen