borrado de PE header

CCA · 6 Enero 2008, 05:18 AM

hola quisiera saber y si me explicaran sobre el borrado de la cabesera del PE, yo lo que necesito es un code para agregar al de un chit para poder hacerlo indetectable, pero si me explican como puedo hacer este borrado se los agradezco

Shaddy · 6 Enero 2008, 21:01 PM

Pero para borrar el PE Header con un editor hexadecimal te sobra... lo único que debes de saber lo que quieres borrar, es evidente que la cabecera PE sirve precisamente para indicar las propiedades de ejecución del ejecutable...

Aún así entra en la sección "HERRAMIENTAS" y busca "Lord PE" tiene un buen visor de cabecera, o sino el mismo Stud_PE o alguno así.

Salu2..

CCA · 11 Enero 2008, 20:20 PM

buenas shadowdark, mira lo que viene mi pregunta es sobre este post que tmb hice yo http://foro.elhacker.net/index.php/topic,194597.0.html y lo que quiero saber es que este método es para borrar completamente la pe header, es un método de hacer indetectable un módulo que se carga en la memoria de un proceso creo según he leido, pero lo que no entendia es sobre el borrado completo de la pe header o de algunos datos en ella solamente es decir la diferencia entre una cosa y la otra

CCA · 14 Enero 2008, 18:21 PM

mejor dicho la diferencia entre borrar la cabecera PE y modificar datos de ella, pero ambas formas por medio de programarlo, no de usar un programa como esos que dices, entonces que diferencias hay

Shaddy · 14 Enero 2008, 19:00 PM

a ver, no hay diferencia, para modificar datos de la cabecera PE lo que itenes que hacer es primero, buscas la SIGNATURA "PE" del ejecutable, y a partir de ahí sacas direcciones y bases de imagen para calcular las otras direcciones, todo a partir de la signatura al inicio del ejecutable "PE".

Salu2..

CCA · 15 Enero 2008, 20:11 PM

ok, entonces borrar la cabecera pe es poner los bytes a 0 no, es como me lo explicaban en este post, por eso lo que yo quiero es saber la diferencia entre hacerlo con un codigo automaticamente, o usando un programa como este mira, ves que te da esas opciones................. pero solo digo de la pe header

Shaddy · 16 Enero 2008, 09:50 AM

no se exactamente lo que hace pero subemelo y lo traceare para decirte pero imagino que no la borrará completamente porque si no no funcionaría, imagino que lo que hará será sustituirla por otra nueva. no lo se realmente, si me lo pasas lo miro.

Salu2..

P.D: a ver si me arreglan el pc que en casa me a petao la placa.

byebye · 16 Enero 2008, 13:26 PM

100% que hace eso que dices, logicamente un PE no puede funcionar sin cabecera.

y para CCA, enterate mejor que es lo que necesitas hacer pq en otro post se entendia que lo querias hacer sobre un proceso, pero ese programa lo hace sobre un archivo.

CCA · 16 Enero 2008, 21:01 PM

en este link te he subido el yoda crypter y el yoda protector, los dos los uso para mis archivos pero no se bien todas las funciones....
http://rapidshare.com/files/84332849/toolz.rar.html

el programa borra la cabecera PE, pero en el codigo que te he mostrado dice que pone los bytes a 0 supongo que es lo mismo, pero suena distinto igual..... pero la finalidad de ese codigo es que cuando la dll se ha inyectado (ya inyectada en el proceso), justo en ese momento se borra la PE header de la dll y eso segun lo que tengo entendido la hace indetectable entre otras cosas............. pero entonces supongo que borrando la PE header con este programa no serviria ya que si inyecto la dll sin pe header no va a andar pero ahora voy a hacer las pruebas, igualmente tengo mis dudas.. el codigo del que hablo es en este post http://foro.elhacker.net/index.php/topic,194597.0.html saludetes

CCA · 4 Febrero 2008, 18:48 PM

al final en que ha quedado este tema, yo se qe hay partes importantes de la cabesa PE desp de que la dll se haya cargado, como la IAT y la EAT no entonces quisiera estar seguro de lo que se puede borrar de la cabesa pe desp de que la dll se haya cargado, lo mismo de quitar la ccabesa msdos