Ohai,
habe mal meine alten Sourcecodes durchforstet (zumindest das Zeug was man halt speichert...) und habe ein paar Sachen rausgesucht, die vllt. den ein oder anderen interessieren könnten.
Ein bisschen davon fliegt hier vielleicht in anderen Threads schon rum (um genau zu sein sind ein paar davon auch erst wegen Free-Hack auf Anfrage bzw. im Rahmen eines Threads entstanden).
Aber gut... wirklich spektakulär ist wahrscheinlich nur wenig davon und es wäre schon gewaltiges attention-whoring da jetzt für jeden Source einen neuen Thread zu erstellen -- also landet alles in einem. Ich werde mir aber Mühe geben zu jedem Source wenigstens einen kurzen Satz darüber zu verlieren, wozu dieser dient. Die verwendeten Sprachen sind wie oben erwähnt C, C++ und Assembler (MASM-Dialekt). Die Altersspanne der Codes reicht von Juni 2011 bis September 2008.
- [ASM] PELoc.asm -- http://pastie.org/private/jo4kzy2ifwdygxqzllbrsw
Findet rudimentär die Adresse von kernel32.dll im Speicher (wird in der Form in-the-wild nicht funktionieren; dafür gibt es hier gleich noch einen extra Code), durchsucht die Export-Tabelle nach der Beep-Funktion und ruft Beep(400, 400) auf.- [ASM] RC4 Ver-/Entschlüsselung -- http://pastie.org/private/n3r7bdtgbighgloe3n2frg
Tut was es sagt... Ver- und Entschlüsselung mit RC4 geschrieben für MASM.- [ASM] Kernel32.dll Finder -- http://pastie.org/private/giw449ru8ssjxjpnxc7zhg
Sucht über den PEB nach kernel32.dll. Setzt allerdings voraus, dass kernel32.dll im Speicher liegt (was eigentlich immer der Fall seien sollte... aber halt zur kleinen Warnung... wenn man z.B. mit MASM einfach so Programme schreibt haben die nicht zwangsweise Imports und dann klappt das halt nicht).- [C++] UDP Source/Destination Viewer -- http://pastie.org/private/fzbdgycvw7yzblcueibrng
Habe ich damals glaube ich für irgendwas gebraucht, was etwas mit Xfire zu tun hatte... kann mich nicht mehr genau errinnern -- der Code ist von 2008!- [C] Print unsigned long long int -- http://pastie.org/private/iktkeucvuuokjqjicssrtw
War auch irgendwas für Free-Hack... keine Ahnung wofür... gibt den Wert eines unsigned long long int aus.- [C] popen Test -- http://pastie.org/private/tzktabau63bgxjob7innw
Zeile 21 zufolge hatte das wohl irgendwas mit meinem IRC Bot zu tun... bin gerade selber Verwirrt wozu ich das gebraucht habe. Egal; liest die Ausgabe von ls -A / und gibt diese aus. Wie man Programmausgaben ausliest wurde hier ja schon des öfteren gefragt (P.S.: popen gehört nicht zur C Std Lib... ist aber eigentlich immer verfügbar).- [C++] SDL Mandelbrot-Menge Plotter -- http://pastie.org/private/ejs0xgll7s3bz3ndhasula
Erzeugt mit SDL ein Fenster und zeichnet einen Teil der Mandelbrot-Menge. War hauptsächlich dafür gedacht mal die complex-Klasse aus der C++ STL auszuprobieren.- [C] HideFromDebugger -- http://pastie.org/private/f9sepwotfk3j87yglge4g
Setzt das ThreadHideFromDebugger-Flag um Ring-3 Debugger-User zu nerven... ich glaube das war für f0Gx/l0dsb, weil er nach wie vor ein zweites UnpackMe von mir haben möchte (irgendwann mein Freund) ;D- [C] Find "EOF" -- http://pastie.org/private/f2jpa5wfrsz33kzwfu7zbg
Definitiv für einen Thread auf FH entstanden. Ging um das leidige Thema "EOF-Daten" (ich hasse diesen Begriff -.-) wiederzufinden. Da wurde glaube ich drüber diskutiert ganz am Ende noch die Länge zu vermerken um so den Anfang zu finden usw... Der Code beweist, dass man es auch eleganter bewerkstelligen kann. Dass das so funktioniert ist übrigens genau der Punkt an dem EBFEs TR.Dropper.Gen-Fixer ansetzt. Wer möchte kann sowas als Heuristik dafür nutzen, ob an eine PE-Datei (.exe, .dll, ...) künstlich (und schlampig ) Daten angefügt wurden.- [C] atoi -- http://pastie.org/private/9aygxxcbgglh7rbnkrstaw
Eine Implementierung der atoi-Funktion... hatte ich hier glaube ich mal als Übungsaufgabe gestellt... im Allgemeinen habe ich noch mehr von so StdLib-Funktions "rewrites". Vielleicht interessiert es ja irgendwen- [C] pinject -- http://pastie.org/private/edjeet2oerk2od1ew9txjw
Ist das was in VB Kreisen als RunPE bekannt ist. Müsste allerdings ein wenig stabiler laufen (siehe Z.97-92). Basiert jedoch auf dem Original Artikel von Tan Chew Keong zu 'Dynamic Forking of Win32 EXE'
P.S.: Nein, das ist nicht alles von dem, was ich so über die Jahre geschrieben habe und auch nicht alles von meinen Sourcecodes die ich aufgehoben habe. Alles was sonst bei mir noch rumfliegt dürfte viele hier einfach nur langweilen (Primitivwurzel mod n Finder; anyone? ;D).