 |
 |
 |
 |
 |
|
Antwort
|
Registriert seit: 27. Mai 2005
Hallo,
ich habe mich des öfteren mit Microsofts PE-Format beschäftigt und deswegen dachte ich mir das ich mal eine Unit mache die die Arbeit mit dem PE-Format erleichtern sollte  . Die Unit wird von mir täglich mit neuen Funktionen erweitert!Unit Version: 1.3 Funktionen:
Beispiel-Aufruf:
Delphi-Quellcode:
Falls ihr Verbesserungsvorschläge habt, dann nur her damit!
uses untPeFile;
... procedure TForm1.FormCreate(Sender: TObject); var PE: TPeFile; x: Word; Imports: TImportsArray; const sSection = 'Name: %s' + #13#10 + 'Sektion: %d/%d' + #13#10 + 'Start der Sektion: %d' + #13#10 + 'Größe der Sektion: %d'; sImports = 'Bound Import Lib: %s'; begin PE := TPeFile.Create; // Datei Laden .. if PE.LoadFromFile('C:\WINDOWS\Notepad.exe') then begin // Alle Sektionen ausgeben for x := Low(PE.ImageSections) to High(PE.ImageSections) do ShowMessage(Format(sSection, [PE.SectionToString(PE.ImageSections[x]), x, PE.NumberOfSections -1, PE.ImageSections[x].PointerToRawData, PE.ImageSections[x].SizeOfRawData])); // Imports Auslesen PE.GetImportAddressTable(Imports); // Nur die Bound IAT ausgeben for x := Low(Imports) to High(Imports) do if Imports[x].ImportType = itBound then ShowMessage(Format(sImports, [Imports[x].LibraryName])); // Neue Sektion anlegen PE.AddSection('NewSec', $200); // Die angelegte Sektion wieder entfernen PE.DeleteSection(PE.NumberOfSections -1); // Speichern ... PE.SaveToFile('C:\NOTEPAD_TMP.exe'); end; // Freigeben... PE.Free; end; |
|
Delphi 2007 Enterprise |
#11
14. Jul 2007, 10:16
Zitat von Relicted:
jo da hatte ich gerade kurz mal drüber gelesen
mir war nur der sinn nicht 100%ig klar d.h. man könnte in einer bestehenden datei z.b. noch eine andere "datei" unterbringen durch eine neue section und diese dann später wieder auslesen? gruß reli |
Zitat
|
Delphi 7 Enterprise |
#12
14. Jul 2007, 10:41
Zitat von Relicted:
jo da hatte ich gerade kurz mal drüber gelesen
mir war nur der sinn nicht 100%ig klar d.h. man könnte in einer bestehenden datei z.b. noch eine andere "datei" unterbringen durch eine neue section und diese dann später wieder auslesen? gruß reli  hier in Beitrag #19 (Anhang: orignal.exe und encrypted.exe machst. Dabei wird bei encrypted.exe der Code in der Exe erst entschlüsselt, wenn man das richtige Passwort eingegeben hat (da zum entschlüsseln das Passwort notwendig ist).
|
|
Zitat
|
|
Delphi 2007 Enterprise |
#15
14. Jul 2007, 11:50
Und ich hab schon wieder eine Neue Version hochgeladen.
Zitat:
|
|
Zitat
|
|
Delphi 2007 Enterprise |
#16
14. Jul 2007, 11:52
Zitat von Luckie:
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
. Und das war doch nur ein kleines Beispiel für die Unit.
|
|
Zitat
|
|
Delphi 7 Enterprise |
#17
14. Jul 2007, 11:57
Zitat von Relicted:
coole sache... aber ich glaube sowas mögen kunden generell nicht :-p
Zitat von Luckie:
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
 Lad dir doch mal die Beispieldatei von mir runter!
|
|
Zitat
|
|
|
#19
14. Jul 2007, 12:33
Zitat von Luckie:
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
Zitat von brechi:
Die sagen nichts, du kannst jeden Virus crypten und der wird nicht mehr erkannt. Jedenfalls so lange bis der crypter auf die Blacklist kommt. (vereinzelt zeigen die halt an, dass die Datei möglicherweise ein Virus ist)
Allerdings muß ich dir etwas widersprechen. Das Thema wurde zwar auf dem Antivirus-Tester-Workshop hier in Reykjavík im Mai auch angesprochen, aber allgemein ist es eben nicht so, daß Packer/Crypter geblacklisted werden. Bei einigen AV-Firmen gibt es allerdings diese Tendenz, was auch rege am zweiten Tag in der Podiumsdiskussion diskutiert wurde. Auch war man sich weitgehend darüber einig, daß bei einem Packer/Crypter der quasi nur von Malware benutzt wird, ein Blacklisting bis zur Analyse und Implementierung im Emulator der AV-Engine gerechtfertigt werden kann. Übrigens hatte diese Diskussion ein Kollege von Kaspersky Niederlande angeregt, weil er sowas in seinem Vortrag am Rande erwähnt hatte - das (zumindest temporäre Blacklisting) sei übliche Praxis bei Kaspersky. Ist der Packer erstmal effektiv in der Engine implementiert, braucht der Emulator sich bekanntlich nicht mehr durch den Entpackcode durchwühlen und damit werden solche Viren dann doch erkannt. Du (brechi) solltest doch eigentlich wissen, wie AVs implementiert sind, zumindest oberflächlich. Abgesehen davon reden wir hier vermutlich noch nichtmal von Viren im traditionellen Sinn, weil die bekanntlich nur noch den kleinsten Teil ausmachen. Auch Skiptkiddies sind schließlich nur Benutzer vorgefertigter Lösungen 
|
|
Zitat
|
|
Delphi 2007 Enterprise |
#20
14. Jul 2007, 12:51
Zitat von brechi:
Die sagen nichts, du kannst jeden Virus crypten und der wird nicht mehr erkannt. Jedenfalls so lange bis der crypter auf die Blacklist kommt. (vereinzelt zeigen die halt an, dass die Datei möglicherweise ein Virus ist)
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
