Ayuda para quitar una firma. Método XOR, MEEPA y error de acess violation.

Iniciado por ccjrocks, 28 Junio 2013, 00:44 AM

0 Miembros y 2 Visitantes están viendo este tema.

ccjrocks

Muy buenas gente, resulta que estoy haciendo un mod de un crypter, y ya he quitado bastantes firmas (18 para ser exactos), y todas ellas las he hecho modificando algún offset, cambiando el entrypoint, las tables, etc.

El problema viene conque un antivirus me detecta la string "RtlMoveMemory", por lo que no puedo hacer el método RIT.

He intentado hacer el método XOR y el MEEPA (mejor que el XOR, ya que edito la dirección y pongo lo que quiera) y ninguno de los dos me funciona, me rompe el ejecutable y me pone: "Acess Violation Error" al hacer debug con el olly. Si lo pruebo sin esas instrucciones tira perfectamente, osea que no se por qué es, es como si no pudiera escribir esa zona del fichero. Ah, y no está pasado por un packer ni nada, he modificado directamente el source compilado. Os dejo una capturilla a ver si me ayudáis  :rolleyes:



(ignorad que esté en rojo y la dirección del entrypoint, estuve haciendo modificaciones. El entrypoint está en el MOV)

x64core

Para mi "Hexear" un Malware para removerle firma de antivirus es perdida de tiempo
Mejor codificate uno mismo y así podes modificarle todo lo que quieras.

ccjrocks

Cita de: x64Core en 28 Junio 2013, 00:50 AM
Para mi "Hexear" un Malware para removerle firma de antivirus es perdida de tiempo
Mejor codificate uno mismo y así podes modificarle todo lo que quieras.


No, si ya, más que nada lo hago como reto presonal y para aprender algo de ASM, jeje :P

Karcrack

No tiene pinta de que sea esa instrucción la que causa la excepción...

The Swash

Bueno, si lo que te detecta es dicha cadena "RtlCopyMemory" claramente lo que pretendes modificar es la cadena de un API, luego si pretendes modificar eso pues el loader no podrá cargar la dirección de esta función y fallará por tanto deberías tú mismo cargar la dirección de dicha función en la import table.

Claro todo lo dicho anteriormente bajo mi entendimiento de lo que te pasa, no soy un gran entendedor.

Saludos.