Zitat Zitat von EBFE Beitrag anzeigen
98% der verfügbaren Malware-Crypter basieren afaik auf Mem-Exec Methode (wobei 95% der Programmierer diese einfach stur kopiert. Z.B wird die "PE-Realign"/Fix Optionen zuzüglich der ganzen Antis inzwischen sehr gerne in die "eigegen" Crypter eingebaut (damit korrigiert man dann die SizeOfImage nach dem Anhängen der "gecrypteten" Datei an die Stub.exe, so dass sie mit der tatsächlichen Größe übereinstimmt). Aber die angehängte Exe wird immer noch schön brav über CreateFile/ReadFile auf eigenes Modul ausgelesen - obwohl diese dank dem PE-Fix schon beim Start der Exe in den Speicher mitgeladen wurde )
Danke, das bestätigt meine Vermutungen. Unter diesen Gesuchtspunkten wäre die Verschlüsselung aller Sections (evtl muss man da noch auf die IAT achten?) und die Platzierung der Entschlüsselungsroutine innerhalb einer Codecave (inkl junkcode beim jump dorthin) empfehlenswert. Meiner Meinung nach ist soetwas manuell in vereinfachter Art und Weise (MUPing richtig?) im olly ja schnell gemacht, wodurch die Funktionsweise beim durchsteppen auch sehr gut nachzuvollziehen ist.

gruß