главное чтоб тебе подходило на c++ в 2-3 строчки можно функу накатать и потом рипнуть asm код если в асме не силен
-
XSS.stack #1 – первый литературный журнал от юзеров форума
PE EXE
- Автор темы G100M
- Дата начала
кстати тут заходила тема про стадии создания процесса , вот выкладываю из исходников винды в которых сегодня капался, может кому-то пригодиться аналог CreateProcessW
exfile.ru/115487
exfile.ru/115487
---
---
что под этим подразумеваешь ? распаковка на диск и запуск через WinExec ?
karabas-barabas
Смешно
Допусти ксор секции, постановка новой секции с декриптором и прочей анти* мутнёй(ксор по желанию можно заменить на любой другой алго) и запуск непосредственно из декриптора.
Также есть стабы, которые прячут файлы в отдельных секциях или ресурсах, а потом уже работая как пе_лоадер запускают файл в память.
Вот хотелось бы услышать мнения по поводу плюсов и минусов данных способов.
Смешно
Это фраза значит, если вы не поняли:
Допусти ксор секции, постановка новой секции с декриптором и прочей анти* мутнёй(ксор по желанию можно заменить на любой другой алго) и запуск непосредственно из декриптора.
Также есть стабы, которые прячут файлы в отдельных секциях или ресурсах, а потом уже работая как пе_лоадер запускают файл в память.
Вот хотелось бы услышать мнения по поводу плюсов и минусов данных способов.
многие трои любят инжектировать свое тело в другие процессы...
если такого троя криптануть upx то при инжекте он слетит в памяти другого процесса...
так что этот фактор нужно учитывать...стараться не сипользовать в шифровщике абсолютных значений. Смторя какого троя... который не инжектит свое тело можно использовать pe loader... хз надо на практике проверять
если такого троя криптануть upx то при инжекте он слетит в памяти другого процесса...
так что этот фактор нужно учитывать...стараться не сипользовать в шифровщике абсолютных значений. Смторя какого троя... который не инжектит свое тело можно использовать pe loader... хз надо на практике проверять
Спс за подсказки.
Понакачал себе крипторов - сижу понемногу изучаю.
Пока основной скелет написал, но вот с оболочкой(фэйсом) опять заковырки выходят. Что посоветуете, мб на дельфях формы кидать ?
Понакачал себе крипторов - сижу понемногу изучаю.
Пока основной скелет написал, но вот с оболочкой(фэйсом) опять заковырки выходят. Что посоветуете, мб на дельфях формы кидать ?
я вот делал - реализовывал весь алгоритм в длл, и на C# колбасил форму - и делал тока LoadLibrary/GetProcAdress и вызывал нужную функу в длл
Однозначно второй способ лучше, у первого есть преимущество только в том что его проще реализивать. По сути, в первом варианте свой лоадер и не используется, Windows загрузчик спроецирует ехе в память, а декриптор расшифрует секции и передаст управление на OEP. В таком варианте АВ задетектит ехе по структуре, по сигнатурам из секций, которые не закриптовались, вплоть до детекта по РЕ заголовку. Во втором же случае шифруется весь ехе-файл.