Seite 5 von 9 ErsteErste ... 34567 ... LetzteLetzte
Ergebnis 41 bis 50 von 88
  1. #41
    ©(¶Óo¶) Avatar von kalachnikov
    Registriert seit
    12.07.2009
    Beiträge
    624

    Standard

    Ja macht auch Sinn, da ja eig. fast nausschließlich die Stub den Server FUD hält und macht.


    |____
    free-hack.com___|__\



  2. #42
    Der Jesus der Informatik
    Registriert seit
    01.12.2007
    Beiträge
    216

    Standard

    Man hat nur zwei Möglichkeiten als Programmierer die Stub unter zu bringen:
    Intern oder extern. Extern wäre dann in Form einer Datei, die bei dem Crypter bei war.
    Logischerweise muss diese Datei nicht "Stub.exe" heißen. Der Name spielt keine Rolle. Du solltest also, falls noch andere Dateien im Ordner sind, diese ruhig mal in den Hexeditor laden, un nachschauen, ob es sich um eine PE handelt. Wenn ja wird das wahrscheinlich die Stub sein.
    Wenn sie intern mitgeführt wird, ist die erste Anlaufstelle Reshack.
    Auch da gilt, wie die Resource heißt, oder wo sie sich befindet spielt keine Rolle. Also einfach überall nachschauen, ob eine PE Datei vorhanden ist.
    Wenn du da aucn nicht fündig wirst, würde ich per Hexeditor im Builder einfach nach "MZ" oder "PE" suchen, um alle anderen Möglichkeiten nach PE Dateien im Builder abzugrasen.
    Solltest du auch so noch nicht fündig geworden sein, wird die Stub wahrscheinlich in verschlüsselter Form gespeichert sein.
    Das kann einerseits eine selbst implementierte Verschlüsselung sein, oder eben ein Packer/Protector.
    Darüber sollten Tools wie PEiD (google) Aufschluss geben.
    In beiden Fällen sind allersings mindestens Grundkentnisse in Olly Voraussetzung. Es sei denn es handelt sich um UPX oder ähnliche Packer, für die 100e Unpacker im Netz kursieren.

    Probier das alles nochmal aus, oder lass es und such dir ein neues Target.

    MfG DizzY_D






  3. #43
    ©(¶Óo¶) Avatar von kalachnikov
    Registriert seit
    12.07.2009
    Beiträge
    624

    Standard

    Soweit verständlich. Die ersten beiden Bytes beinhalten die Zeichenkette "MZ" welche eine (unter DOS) ausführbare Datei identifizieren, die letzten 4 Bytes zeigen auf den Anfang des PE-Headers.
    Punkto Erkennung der Stub: Es ist ja offensichtlich, dass die extern angehängte "Stub" nicht gleich den Dateinamen "Stub" hat oder haben muss. Man kann Sie auch an der Größe der Bytes erkennen.

    Man kann ja auch das gesamte PE-HEader zur nächsten 512-Byte-Grenze "aufblasen". EIne PE-Datei ist ja bekanntlich, noch bevor die Sections enthalten sind, mindestens 512 oder 1024 Byte groß. Man kann in jeder Section die Datei um 512 Byte vergrößern (kleinste Wert für Section Alignment in der Datei ist ja 512 Bytes groß ).

    Wenn ich eine PE-Datei gefunden haben soll, die ich modden könnte, bei welchen Sektionen müsste ich da ansetzen.? Den Section Header oder die Daten der Sektion selbst?


    |____
    free-hack.com___|__\



  4. #44
    Anfänger Avatar von BlackCobra
    Registriert seit
    04.08.2008
    Beiträge
    807

    Standard

    KLICK MICH HART Ich habe euch hier mal eine Website rausgesucht auf der es alle möglichen unpacker gibt. Falls der Crypter gepackt ist einfach den section name mit PEID angucken oder unten das Ergebniss, falls nicht "nothing found" dort steht.

  5. #45
    Der Jesus der Informatik
    Registriert seit
    01.12.2007
    Beiträge
    216

    Standard

    Zitat Zitat von kalachnikov Beitrag anzeigen
    Wenn ich eine PE-Datei gefunden haben soll, die ich modden könnte, bei welchen Sektionen müsste ich da ansetzen.? Den Section Header oder die Daten der Sektion selbst?
    Das kommt auf die Detections an.
    Aviras TR/Dropper.Gen liegt meistens an auffälligen Werten im PE Header selbst. Die meisten Detections basieren allerdings auf Signaturen in der Code Section.
    Es kann natürlich auch sein, dass bestimmte Strings in der Data oder Resource Section erkannt werden.
    Bei den ganzen verschiedenen Techniken, die die AVs heute einsetzen gibt es keinen generellen Ansatzpunkt mehr.
    Trotzdem würde ich bei der Codesection anfangen nach Auffälligkeiten zu suchen.






  6. #46
    cookie power :D Avatar von cookie-exploit
    Registriert seit
    16.02.2010
    Beiträge
    249

    Standard

    wie siehts denn mit dem paper aus?^^
    ..bist du mittlerweile fertig geworden? :p


    The quieter you become, the more you are able to hear...

  7. #47
    ©(¶Óo¶) Avatar von kalachnikov
    Registriert seit
    12.07.2009
    Beiträge
    624

    Standard

    Zitat Zitat von DizzY_D Beitrag anzeigen
    Das kommt auf die Detections an.
    Aviras TR/Dropper.Gen liegt meistens an auffälligen Werten im PE Header selbst. Die meisten Detections basieren allerdings auf Signaturen in der Code Section.
    Es kann natürlich auch sein, dass bestimmte Strings in der Data oder Resource Section erkannt werden.
    Bei den ganzen verschiedenen Techniken, die die AVs heute einsetzen gibt es keinen generellen Ansatzpunkt mehr.
    Trotzdem würde ich bei der Codesection anfangen nach Auffälligkeiten zu suchen.
    Ok, werde mich dann mal demnächst ransetzen.
    Das mit dem TR/Dropper.Gen ist mittlerweile auch nicht mehr allzu leicht zu umgehen. Da hat sich Avira was besseres einfallen lassen um solch Dinge zu vermeiden. (auffälige Werte im Header der PE-Datei beseitigt, leider ohne Erfolg) Werd dann mal in der Code Section anfangen.

    BlackCobra
    Link funktioniert bei mir nicht, Site wahrscheinlich down.


    |____
    free-hack.com___|__\



  8. #48
    cookie power :D Avatar von cookie-exploit
    Registriert seit
    16.02.2010
    Beiträge
    249

    Standard

    Zitat Zitat von kalachnikov Beitrag anzeigen
    BlackCobra
    Link funktioniert bei mir nicht, Site wahrscheinlich down.
    Die Seite ist nicht down


    The quieter you become, the more you are able to hear...

  9. #49
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    So mittlerweile bin ich bei Seite 38 angelangt.

    Habe am Dienstag meine vorletzte schriftliche Prüfung und verlängertes Wochenende (Mittwoch - Montag frei), inder Zeit denke, bin ich fertig damit und lasse es erst von ein paar "Experten" durchchecken ggf. verbessern und dann veröffentlichen

    Weitere Infos könnt ihr in der Zeit auch auf meinem Twitter-Kanal einsehen

  10. #50
    cookie power :D Avatar von cookie-exploit
    Registriert seit
    16.02.2010
    Beiträge
    249

    Standard

    Cool...ich freue mich schon =)

    Und viel Glück bei der Prüfung


    The quieter you become, the more you are able to hear...

Seite 5 von 9 ErsteErste ... 34567 ... LetzteLetzte

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •