muy buenas a todos mi pregunta es la siguiente tengo los tipikos textos que me venian con el metodo xor que son para introducirlos en olly,en el metodo los llaman los panel xor me gustaria saber en cada uno de ellos donde pondria el entry point que viene con el stub y si varia el resultado dependiendo de donde ponga los panel xor
panel xor 1:
PUSH EBP
MOV EBP, ESP
PUSH ESI
PUSH EDI
PUSH EBX
MOV ESI, ESP
PUSH DWORD PTR SS:[EBP+14]
PUSH DWORD PTR SS:[EBP+10]
PUSH DWORD PTR SS:[EBP+C]
CALL NEAR DWORD PTR SS:[EBP+8]
MOV ESP, ESI
POP EBX
POP EDI
POP ESI
POP EBP
RETN 10
panel xor 2:
PUSH ESP
PUSH EBP
PUSH EDX
PUSH ECX
NEG EAX
PUSH(Orginal entrypoint)
CALL(orginal call entrypoint)
XCHG DH, CH
PUSH 3788
PUSH 3764
PUSH 3768
PUSH 3772
PUSH 3531
CALL EAX
CALL ESI
CALL EBX
NOT EAX
XOR EAX,EDI
XOR CH,DH
INC ESI
DEC EBP
CALL ESP
JMP (XOR EAX,EDI entrypoint)
JLE (XOR CH,DH Entrypoint)
ROR AL,6
NOT EAX
PUSH 0
RETN
panel xor 3:
xor bl,bl
mov eax,(First)
inc bl
xor byte ptr ds:[eax],bl
inc eax
cmp eax,(Last)
jle (xor)
Push (OEP)
Call (JMP or CALL)
panel xor 4:
DEC ECX
DEC EAX
PUSH EBP
MOV EBP,ESP
PUSH (DEC ECX)
PUSH 99
PUSH 11
PUSH (DEC EAX)
PUSH (Anfang PUSH )
CALL (Anfang CALL )
panel xor 5:
PUSH EAX [ N.E.P ]
PUSH ECX
PUSH ESP
PUSH EBP
PUSH 24
PUSH 21
PUSH [OEP]
CALL [ CALL ]
PUSH ESI
PUSH EBX
CALL ESI
CALL EBX
CALL ESP
CALL ECX
CALL EAX
PUSH 20
RETN
panel xor 6:
PUSHAD
MOV BL,88
NEG BL
ROR BL,4
NOT BL
XOR BL,AL
NOT BL
ROR BL,4
NEG BL
PUSH 1
PUSH 1
MOV EAX,{Anfang}
INC BL
L013:
XOR [BYTE DS:EAX],BL
INC EAX
DEC EAX
INC EAX
CMP EAX,{Ende}
JLE L013
JMP OEP
POPAD
PUSH 1
PUSH 1
RETN
panel xor 7:
PUSH ESP
XOR EAX,ESI
POP EAX
INC EAX
XOR EDX,ESP
POP EAX
NOT EAX
ADD EAX,ESI
JMP (Baslangýc.E.P)
PUSH 4
SUB EAX, 6
JLE (XOR EAX,ESI)deðeri
RETN
esos son todos bueno espero vuestras respuestas de todas formas posteare el metodo mas adelante un saludo a todos
panel xor 1:
PUSH EBP
MOV EBP, ESP
PUSH ESI
PUSH EDI
PUSH EBX
MOV ESI, ESP
PUSH DWORD PTR SS:[EBP+14]
PUSH DWORD PTR SS:[EBP+10]
PUSH DWORD PTR SS:[EBP+C]
CALL NEAR DWORD PTR SS:[EBP+8]
MOV ESP, ESI
POP EBX
POP EDI
POP ESI
POP EBP
RETN 10
panel xor 2:
PUSH ESP
PUSH EBP
PUSH EDX
PUSH ECX
NEG EAX
PUSH(Orginal entrypoint)
CALL(orginal call entrypoint)
XCHG DH, CH
PUSH 3788
PUSH 3764
PUSH 3768
PUSH 3772
PUSH 3531
CALL EAX
CALL ESI
CALL EBX
NOT EAX
XOR EAX,EDI
XOR CH,DH
INC ESI
DEC EBP
CALL ESP
JMP (XOR EAX,EDI entrypoint)
JLE (XOR CH,DH Entrypoint)
ROR AL,6
NOT EAX
PUSH 0
RETN
panel xor 3:
xor bl,bl
mov eax,(First)
inc bl
xor byte ptr ds:[eax],bl
inc eax
cmp eax,(Last)
jle (xor)
Push (OEP)
Call (JMP or CALL)
panel xor 4:
DEC ECX
DEC EAX
PUSH EBP
MOV EBP,ESP
PUSH (DEC ECX)
PUSH 99
PUSH 11
PUSH (DEC EAX)
PUSH (Anfang PUSH )
CALL (Anfang CALL )
panel xor 5:
PUSH EAX [ N.E.P ]
PUSH ECX
PUSH ESP
PUSH EBP
PUSH 24
PUSH 21
PUSH [OEP]
CALL [ CALL ]
PUSH ESI
PUSH EBX
CALL ESI
CALL EBX
CALL ESP
CALL ECX
CALL EAX
PUSH 20
RETN
panel xor 6:
PUSHAD
MOV BL,88
NEG BL
ROR BL,4
NOT BL
XOR BL,AL
NOT BL
ROR BL,4
NEG BL
PUSH 1
PUSH 1
MOV EAX,{Anfang}
INC BL
L013:
XOR [BYTE DS:EAX],BL
INC EAX
DEC EAX
INC EAX
CMP EAX,{Ende}
JLE L013
JMP OEP
POPAD
PUSH 1
PUSH 1
RETN
panel xor 7:
PUSH ESP
XOR EAX,ESI
POP EAX
INC EAX
XOR EDX,ESP
POP EAX
NOT EAX
ADD EAX,ESI
JMP (Baslangýc.E.P)
PUSH 4
SUB EAX, 6
JLE (XOR EAX,ESI)deðeri
RETN
esos son todos bueno espero vuestras respuestas de todas formas posteare el metodo mas adelante un saludo a todos