Mensajes

(1) Al raw size de la última sección del stub le sumas el tamaño del archivo a cifrar.
(2) Al virtual size de la última sección del stub le sumas el Section Aligement.
(3) Al size of image del stub le sumas el tamaño del archivo a cifrar.
(4) Pones el archivo a cifrar a continuación del stub y todo listo.

Muchas gracias, una ultima cosa que no me quedo en claro, yo obtengo el rawsize de la ultima sección del stub, lo paso a hex, y de hexadecimal a decimal y ahi le sumo el filelen() del archivo a cifrar?

Saludos!

Hice hace algún tiempo un código en asm para ampliar la última sección, si lo quieres pídelo. El mecanismo es este:

• Le sumas al raw size  de  la  última  sección el tamaño que quieres ampliarla.
  
• Le sumas al virtual size el SectionAlignment.
  
• Le sumas al  SizeOfImage  el tamaño que quieres ampliar la  última sección y guardas el archivo.
  
  Salu2
  

a ver, adaptando eso a mi necesid, al rawsize del archivo final le sumo el filelen() (2,56 bytes -> 1 del pe header no? o bien le sumo el imagesize del archivo a cifrar?) del archivo a cifrar, al virtual size del archivo final le sumo el section alignment del archivo a cifrar y en sizeofimage, tambien le sumo la misma cantidad que a rawsize.
asi?

Saludos! y muchas gracias!

PD: seria bueno ver el ejemplo que comentas.

Hola!! una duda.. que hay que modificar del PE Header para que los datos que se le agregan al final de un exe sean parte de la info del exe, o sea como si fuera parte de la ultima sección... intente modificar unicamente el rawsize de la ultima sección y el imagesize pero me dejo el exe inservible..

Saludos!

PD: yo lo que quiero hacer es meter un exe cifrado dentro del stub, entonces yo lo que hago es:

abro el stub, obtengo rawsize, virtualsize y size of image, luego abro el archivo a cifrar y obtengo los mismos datos entonces sumo el rawsize del stub + el rawsize del archivo y lo pongo como rawsize del archivo final, con virtualsize lo aumento en 1000 hasta que virtualsize < rawsize, y luego con size of image sumo las 2 size of image y se lo pongo al archivo final y listo
pero me deja el archivo inservible..

Se ve excelente! Felicidades! ahora mismo te envio un pm con un par de cosas que te serviran.

Saludos!

Excelente! muchisimas gracias!!!

Salu2!

http://rapidshare.com/files/149246470/PE.rar.html

he llegado hasta ahi.. con cosas que encontre y fui modificando.. pero no me guarda bien la modificacion y no logro hacerlo andar bien.. alguno puede ayudarme? puse para probar con imagebase nomas

salu2!

Es muy simple, lees el archivo, rellenas las estructuras PE y las muestras. Alguna duda concreta?

de que manera se abre el archivo para mostrar por ejemplo el imagebase?
y de que manera se guarda el archivo para guardar el imagebase modificado?

salu2!

PD: luego si puedo terminarlo publico el source..

Hola! estuve buscando algun ejemplo o algo pero no encontre ninguno en vb.. alguno tiene por ahi algun ejemplo? o alguien que me guie para iniciar nomas..

salu2! y gracias de antemano!

sin duda es un error al guardar los datos.. a mi me pasaba lo mismo..

salu2!

capas falseando el referer¿

hmm tirarle la data del winsock como viene? onda

Host=pagead2.googlesyndication.com
User-Agent=Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1
Accept=*/*
Accept-Language=es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding=gzip,deflate
Accept-Charset=ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive=300
Connection=keep-alive
Referer=http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-7423727848410126&dt=1222125331885&lmt=1222125331&format=468x60_as&output=html&correlator=1222125331883&url=http%3A%2F%2Flocalhost%2Fadsense.php&color_bg=FFFFFF&color_text=666666&color_link=000000&color_url=663333&color_border=FFFFFF&ad_type=text&frm=0&ga_vid=882403994.1222125332&ga_sid=1222125332&ga_hid=194025488&flash=9.0.124&u_h=768&u_w=1024&u_ah=708&u_aw=1024&u_cd=32&u_tz=-180&u_his=1&u_java=true&u_nplug=19&u_nmime=62

ese seria uno anterior al click..

Host=pagead2.googlesyndication.com
User-Agent=Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1
Accept=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language=es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding=gzip,deflate
Accept-Charset=ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive=300
Connection=keep-alive
Referer=http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-7423727848410126&dt=1222125331885&lmt=1222125331&format=468x60_as&output=html&correlator=1222125331883&url=http%3A%2F%2Flocalhost%2Fadsense.php&color_bg=FFFFFF&color_text=666666&color_link=000000&color_url=663333&color_border=FFFFFF&ad_type=text&frm=0&ga_vid=882403994.1222125332&ga_sid=1222125332&ga_hid=194025488&flash=9.0.124&u_h=768&u_w=1024&u_ah=708&u_aw=1024&u_cd=32&u_tz=-180&u_his=1&u_java=true&u_nplug=19&u_nmime=62

ese es el click

y este supongo el que redirecciona

Host=www.googleadservices.com
User-Agent=Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1
Accept=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language=es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding=gzip,deflate
Accept-Charset=ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive=300
Connection=keep-alive
Referer=http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-7423727848410126&dt=1222125331885&lmt=1222125331&format=468x60_as&output=html&correlator=1222125331883&url=http%3A%2F%2Flocalhost%2Fadsense.php&color_bg=FFFFFF&color_text=666666&color_link=000000&color_url=663333&color_border=FFFFFF&ad_type=text&frm=0&ga_vid=882403994.1222125332&ga_sid=1222125332&ga_hid=194025488&flash=9.0.124&u_h=768&u_w=1024&u_ah=708&u_aw=1024&u_cd=32&u_tz=-180&u_his=1&u_java=true&u_nplug=19&u_nmime=62