Mensajes

Para mi "Hexear" un Malware para removerle firma de antivirus es perdida de tiempo
Mejor codificate uno mismo y así podes modificarle todo lo que quieras.

No, si ya, más que nada lo hago como reto presonal y para aprender algo de ASM, jeje

Muy buenas gente, resulta que estoy haciendo un mod de un crypter, y ya he quitado bastantes firmas (18 para ser exactos), y todas ellas las he hecho modificando algún offset, cambiando el entrypoint, las tables, etc.

El problema viene conque un antivirus me detecta la string "RtlMoveMemory", por lo que no puedo hacer el método RIT.

He intentado hacer el método XOR y el MEEPA (mejor que el XOR, ya que edito la dirección y pongo lo que quiera) y ninguno de los dos me funciona, me rompe el ejecutable y me pone: "Acess Violation Error" al hacer debug con el olly. Si lo pruebo sin esas instrucciones tira perfectamente, osea que no se por qué es, es como si no pudiera escribir esa zona del fichero. Ah, y no está pasado por un packer ni nada, he modificado directamente el source compilado. Os dejo una capturilla a ver si me ayudáis  



(ignorad que esté en rojo y la dirección del entrypoint, estuve haciendo modificaciones. El entrypoint está en el MOV)

Hombre, teniendo en cuenta que cin, cout, etc. son funciones que se introdujeron con C++ (creo), son más avanzadas y por lo tanto mejores; pero si quieres operar a bajo nivel o programar en C, tendrás que usar las otras.

Además, cin, cout etc. yo las veo muuucho más sencillas de usar, no sé, no tienes que indicar la clase de variable que saldrá, tienen pocos argumentos, etc.  

@ccjrocks, mi código también te permite manipular cada byte del archivo, uno a uno, la única diferencia es que primero lee el archivo de entrada entero, después haces lo que quieras con cada byte y los escribes, uno a uno, al fichero de salida.

Saludos.

¿Pero no sería un desperdicio de memoria bastante importante tener que volver a leer todo el archivo almacenado en una variable? ¿No es mejor editar en el mismo momento en el cual es leído? Así nos evitamos volver a recorrer todo el archivo en la memoria, así como almacenarlo.

No has pensado en hacer algo como esto?:

Código (cpp) [Seleccionar] Expandir


uint64_t getFileSize(istream& stream)
{
uint64_t cur, ret;
cur = stream.tellg();
stream.seekg(0, ios::end);
ret = stream.tellg();
stream.seekg(cur, ios::beg);

return ret;
}

ifstream readfile(readpath.c_str(), ios::binary|ios::in);

uint64_t fileSize = getFileSize(readfile);
char *buf = new char[fileSize];
readfile.read(buf, fileSize);

for(size_t i=0; i<fileSize; i++)
{
/* Haces lo que quieras con buf[i] */
outputfile.put(buf[i]);
}

delete[] buf;


Lo veo un poco menos confuso no?

Lo que me interesaba era realizarlo char a char, pero este código escribe entero de un plumazo por lo que no me serviría  Pero muchas gracias!!

Pues es raro que no te funcione mi código porque a mi si me funciona, puede que el error esté en otro sitio.
Mi código completo es este:

Código (cpp) [Seleccionar] Expandir

#include<iostream>
#include<fstream>

using namespace std;

int main(){
ofstream outputfile;
outputfile.open("file1",ios::out);
ifstream readfile;
readfile.open("file2",ios::in);


while(readfile.good()){
char writebuffer=readfile.get();

if(readfile.good())outputfile.put(writebuffer);
}
readfile.close();
outputfile.close();
}

Tenías razón sobre lo del read y write, si que desplazan.
Otra manera que me funciona es esta:

Código (cpp) [Seleccionar] Expandir

#include<iostream>
#include<fstream>

using namespace std;

int main(){
ofstream outputfile;
outputfile.open("file1",ios::out);
ifstream readfile;
readfile.open("file2",ios::in);

char writebuffer;
while(readfile.read(&writebuffer,1)){
if(readfile.good())outputfile.write(&writebuffer,1);
}
readfile.close();
outputfile.close();
}

Al final resultaba que ¡¡LOS DOS CÓDIGOS FUNCIONABAN!! El problema era muy simple: Paraba la ejecución yo manualmente antes del ifstream.close()  En serio, menuda chorrada y era simplemente eso. Muchas gracias a todos!!

Lo que aún no entiendo es por qué necesito cerrar el ifstream, osea, hago escritura en binario, una vez acabe de escribir el fichero se supone que no tiene ninguna cabecera de cierre ni nada por el estilo no? Es decir, al haber escrito todos los caracteres del fichero, aunque no cierre el stream, debería ser el mismo fichero. ¿Sabéis por que es? Porque el problema era ese, pensaba que aunque no cerrara el stream el fichero se había escrito ya completamente

Por fín lo arreglé!!

[ios::binary]

Supongo que estás haciendo un crypter o algo así... no?

Abres el archivo pasándole el flag ios::binary, pero no el flag ios::in. No sé si eso puede causar el error, pero prueba a cambiarlo.

Saludos.

Creo que no le he pasado el flag ios::in no??
Y sí, es un crypter  

Vale, ya sé cual es un fallo. Resulta que read y write no se desplazan por el fichero solo leen y escriben empezando por el principio(a no ser que especifiques un offset).
Tendrías que usar put y get:

Código (cpp) [Seleccionar] Expandir

while(readfile.good()){
char writebuffer=readfile.get();

if(readfile.good())outputfile.put(writebuffer);
}
readfile.close();
outputfile.close();

A ver si te funciona esto...

Por otra parte tengo que decir que el error que te da no tiene pinta de ser por eso. Tengo la impresión de que en algún lugar se ha modificado un puntero. La dirección 0x20202020 es muy sospechosa, 0x20 en ascii es un espacio. ¿Cabe la posibilidad de que el error esté en otro sitio?

He probado tu code y esta vez me da el error 0x05, que cambiando el code de otras formas también me daba. Los errores que recibo probando diferentes codes son el 0x05 y 0x20 siempre.

Y he estado investigando y te diré que el read SÍ desplaza el fichero, osea que seguimos como al principio...

Creo que debe ser algo relacionado con el final de fichero, porque he probado también:

Código [Seleccionar] Expandir

while(!readfile.bad()){


char writebuffer;
readfile.read(&writebuffer,1);
outputfile.write(&writebuffer,1);

}

Y funciona, lo que pasa que no para, se vuelve loco y escribe el fichero una y otra vez hasta que lo cierras. Si pruebo con:

Código [Seleccionar] Expandir

while(!readfile.eof()){


char writebuffer;
readfile.read(&writebuffer,1);
outputfile.write(&writebuffer,1);

}

Me lee sólo parte del fichero, es decir, el fichero origen ocupa 28K y el de destino 30K, osea que para antes de llegar al final.

Prácticamente ahora sólo queda comprobar el final de fichero, se os ocurre algún método¿? (ya que con eof()) no lo conseguimos)

EDITO: Con este código pasa lo mismo que con el último ejemplo:

Código [Seleccionar] Expandir

while(!readfile.bad()){

long actpos=readfile.tellg();
if(actpos==readfilesize){
break;
}
char writebuffer;
readfile.read(&writebuffer,1);
outputfile.write(&writebuffer,1);

}

La función está bien, lo que hace es devolver el tamaño del fichero sin resetear el puntero del stream.

El principio del fichero es el siguiente:

Código [Seleccionar] Expandir

MZ       ÿÿ  ¸       @                                   €   º ´ Í!¸
LÍ!This program cannot be run in DOS mode.

$       PE  L
 š#²Q        à 

  >   4      ¾]       `    @                       à          @...                           d]  W    €  à.                   À      `                                                               H           .text   Ä=       >                    `.sdata  8
   `      B              @  À.rsrc   à.   €   0   D              @  @.reloc      À      t              @  B                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         ]      H     1  L, 
     P

Me temo que ya lo había probado   (Lo de readfile.eof)

Muy buenas cracks, tengo un problemilla que me está frustrando bastante, os dejo el code para que veáis que falla, seguro que es una chorrada:

Código [Seleccionar] Expandir

long tellFileSizeSTREAM(ifstream& FileToAnalize){
long startpoint=FileToAnalize.tellg();
long retorno=0;
FileToAnalize.seekg(0,ios_base::end);
retorno=FileToAnalize.tellg();
FileToAnalize.seekg(0,startpoint);
return retorno;
}


//A PARTIR DE AQUÍ ESTE CODE ESTÁ DENTRO DEL MAIN
ifstream readfile;
readfile.open(readpath.c_str(),ios::binary); //readpath es un string con la ruta
long readfilesize=tellFileSizeSTREAM(readfile);
while(readfile.good()){
char writebuffer;
readfile.read(&writebuffer,1);
outputfile.write(&writebuffer,1);
}

Lo extraño esque me da error en tiempo de ejecucción de violación de acceso a memoria, he probado a cambiar el código de mil maneras posibles pero no tengo ni idea de qué puede ser A alguno os ha pasado esto?

Ah, y tengo que ir char a char porque quiero hacer una manipulación en ellos. A ver si alguno sabe lo que es. Gracas de antemano

No se hacen tareas, empieza por ti misma y pregunta dudas concretas.

Saludos.

Se va notando el principio de curso... jeje