|
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Zitat:
hinten an die EXE dranhänge und diese dann von einem bestimmten Teil im Loadmodule extrahieren lasse. Natürlich muss ich dann auch die Einstegspunkte ändern, was mein Anti-Virus-Scanner bisher nicht so toll fand! Leider meckert er da, aber das kann man ja nachvollziehen, da das leider genau die selbe Methode von Viren ist. Ich frage mich, wie andere selbstextrahierende Packer das machen, ohne vom Anti-Virus-Scanner eins auf die Finger zu kriegen :gruebel: |
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Es reicht eigentlich wenn du die Daten direkt ans Ende anhängst. Danach schreibst du noch die Länge der Daten dahinter, damit du sie korrekt ausleste kannst. Der letzte Integer Wert in der Datei beschreibt dann die Länge der Daten. Dann kann man den Stream genau den Startpunkt berechnen.
So in etwa müßte das funktionieren (ungetestet):
Code:
Irgendwo im Forum wurde auch mal beschrieben wie man eine Exe Datei aus dem Speicher laden kann. Die Exe Packer verändern aber tatsächlich den Einsprungspunkt aber die meisten Packer sind den Antivirenprogrammen bekannt.
var
l:integer; Data:array of byte; st:TFileStream; begin st:=TFilestream.Create('',fmsharedenywrite); st.Seek(-4,sofromend); st.ReadBuffer(l,4); st.Seek(-4-l,sofromend); SetLength(Data,l); st.ReadBuffer(Data[0],l); st.Free; end; |
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Yo, ich mache das auch ähnlich wie in Deinem Example (halt nur in Assembler).
Zitat:
Antivirus-Firmen registrieren lassen, sobald es fertig ist! :twisted: Jetzt darf ich mir noch irgendwelche Methoden einfallen lassen, damit die Anti-Virus-Software meinen Extrahierer nicht bemängelt. Das finde ich zum :kotz: ! |
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Zitat:
Zitat:
Kuck dir auf meiner HP die SFXTools an. Genauso mache ich es mit denen. Ich habe eine Stub an der ich die Dateien mit einer anderen Exe dranhänge. Die Stub enthält den Code um die eigenen Anhänge wieder auf Platte zu schreiben. Da die Stub vorherkopiert wird änderst sich auch nicht die Größe der original Stub. Si wird ja praktisch neu erstellt mit den angehängten Dateien. Weshalb auch kein Virenscanner mekert. |
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Ja Luckie, Du hast wohl Recht. Ich wollte den Code eigentlich vollkommen allein schreiben,
aber das hatte ich mir wohl leichter vorgestellt, als es ist. Ich wollte mir die ganzen Informationen aneignen, die ich benötige, dabei aber dennoch auf jeglichen Sourcecode verzichten. Anscheinend geht das wohl doch nicht und ich bin doch auf bereits existenten Code angewiesen. :cry: Sowas ärgert mich! :evil: |
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Wieso existierender Code? Niemand hält dich davon ab die Routinen zum Anhängen und Extrahieren selber zu schreiben. Hinweis: Kuck dir mal TFileStream an.
|
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Zitat:
Filestream kenne ich, aber ich schreibe das Programm komplett in Assembler. :!: |
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Darf man fragen warum? :roll:
|
Re: Was sind Relocation Pointer Table und Overlaynumber (EXE
Zitat:
Performance her, bla bla, Assembler ist schneller" und das übliche Zeug einfach. Aber das hat in Wirklichkeit gar nichts mit Performance zu tun. Ich hatte während des Abiturs mal Assembler und in den 2 Jahren danach habe ich einen Großteil dessen wieder vergessen (oder verdrängt :wink: ). Ich wollte mir Assembler wieder aneignen und fing dann mit einfacheren Aufgaben an, wie Stringschupsereien und Stack Rumgepusche und "Gepoppe". :wink: Yo, nachdem ich mir dann das Wissen dieser Themen wieder angeeignet hatte, fing ich mit Dateiverarbeitung in Assembler an. Auf meinem Weg dort hin, habe ich hier im Forum die korrespondierenden Fragen zu ASSEMBLER gestellt. Das sieht man hier:  Dannyboy AND Assembler.Yo, und da bin ich nun. :thuimb: |
AW: Was sind Relocation Pointer Table und Overlaynumber (EXE)?
man kanns auch total billig aber dafür kompatibel zu jedem AV programm so machen:
erstelle ein kleines konsolen programm (stub) das code für folgendes enthält - schreiben von resourcen in speicher - code zum ausführen des speichers - code der das obrige beim starten ausführt füge deine PE datei als resource der stub datei zu. PE datei kann im vorfeld mit was auch immer bearbeitet sein, wie meistens gibt es auch hier ausnahmen (selfcheck, programme die ihre config in exe speichern usw...) aber der großteil der programme greift ja glücklicherweise nicht direkt auf sich selbst zu. (spring zu offset X und lad Y bytes etc...) Im groben arbeitet so mein AV-Helper, was lediglich ein stub ist mit paar schmankerl (RC4 verschlüsselung, RtlCompressBuffer als packer) kann logischerweise per memory-dump teilweise "zurückverwandelt" werden aber nicht per PE extraktion einfach aus exe-datei gespeichert werden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:11 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz