• XSS.stack #1 – первый литературный журнал от юзеров форума

Отладчик и троян

Отслеживать
salamandra

salamandra

(L3) cache
Пользователь
Регистрация
26.06.2006
Сообщения
264
Реакции
7
Не большое мое видео по криптовке трояна с помощью отладчика!
Ногами прошу не пинать!Орентировано на новичьков!
Знающим я думаю этого не надо а так если интересно то пожалуйсто!
В общем если не лень то качайте!

http://www.webfile.ru/1182653
 
Палит и уже давно!Это просто учебное пособие,если так можно было сказать!
А когда то не палило и долго даже при таком скудном коде!Но если приделать ещё некоторые фишки то всё будет ок но это уже другой разговор!
 
>>Не большое мое видео по криптовке трояна с помощью отладчика!
Ногами прошу не пинать!Орентировано на новичьков

погами пинать не буду, а скажу лишь, 4то отлад4иков только трассируют прогу, а не криптуют. для этого нужен хекс-редактор...
 
Это мы в курсе!Тот же самый код можно набить как в хекс-редакторЁ!Надеюсь
ты с этим не поспориш!Olly прекрасно с этим справляется!А также произвезти некоторые монепуляции с кодом программы какие в хекс-редакторЁ не зделаеш!Тот же приметивный ксор с сохранением результата и последующим
созданием дешифровщика!
простой хор что то типо этого
lea esi,[start_crypt1]
mov edi,esi
mov ecx,(end_crypt1-start_crypt1)
.crypt0:
lodsb
xor al,75
stosb
dec ecx
jne .crypt0
ret
В отладчике после трассировки с кодом сам знаеш что зделает!
Сохроняем результат то что вышло
и новый файл проделывает обратную операцию!
 
погами пинать не буду, а скажу лишь, 4то отлад4иков только трассируют прогу, а не криптуют. для этого нужен хекс-редактор...

Код: 
Mov ecx,  the address of your 1.st instruction  original entry point
Mov eax,  original entry point
Xor byte [eax],0C 
Inc eax 
Dec ecx 
Jnz  xor byte[eax],0C address
Push  original entry point
Retn  
So it will be  
Mov ecx,1CD    ( 1314C571 - 1314C3A4 = 1CD ) 
Mov eax, 1314C3A4 
Xor byte [eax],0C 
Inc eax 
Dec ecx 
Jnz 1314C57B  ( xor byte[eax],0C address = 1314C60A look at picture below ) 
Push 1314C3A4 
Retn

ЗЫ - Все делалось в Olly
Так чем не криптовка в отладчике? :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх