Change PE Entry Point [SRC]

Iniciado por cobein, 3 Diciembre 2008, 01:33 AM

0 Miembros y 1 Visitante están viendo este tema.

cobein

Bueno, aca les dejo un modulo para cambiar el OEP de un programa, lo podran utilizar como base para hacer un crypter, infectar archivos o hacer los UD.

http://www.mediafire.com/?sharekey=3d5e670b76f5c3f4d2db6fb9a8902bda

Para usarlo se llama asi

If ChangeOEPFromFile (RUTA DEL EXE) then
    debug.print "OK"
else
    debug.print "=("
end if


En algunos archivos es posible que no funcione!

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

katanaia

Gracias como siempre por tus maravillosos codes Cobein. Te hago una pregunta, veo que la funcion que pusiste toma como parametro un archivo que vos le indicas, pero (por ahi es medio noob esto que pregunto) a donde lo mueve al entry point? O sea, lo mueve al azar o a una direccion que le indicaste ya en el modulo? Y si es esto ultimo, se puede cambiar esa direccion a la que uno quiera?

cobein

El entry point lo pone es la sección ejecutable del programa en el espacio que normalmente queda entre el virtual size y el raw data size.
Con respecto a ponerlo en otro lado, las unicas opciones son cualquier punto entre el final del codigo  y el final de la sección (ahora esta justo al final del codigo) o agregar una nueva sección ejecutable.
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

drakolive

se ve bueno, pero nose como empezar a usarlo..
podrias poner un ejemplo de uso? explicado , sino te es molestia. gracias

katanaia

Jajaja!! Ahora con las fotos esas se entiende perfecto! :P

drakolive

Gracias...
curiosamente a un archivo totalmente inofensivo (cree un proyecto nuevo y lo compile), teniendo dos copias del este, aplique a uno la funcion y al otro no.

y 3 antivirus lo detectan como malware:
   a-squared        Trojan-Dropper.Vb.1!IK
       Avira AntiVir    HEUR/Crypted
       IkarusT3              Trojan-Dropper.Vb.1


cobein

si es muy posible, por eso dije en los comentarios que se puede usar como base apara hacer otras cosas, digamos que usar este codigo asi como esta no tiene mucho sentido.
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

Karcrack

Muy bueno (Como ya dije en HackHound :P)!

Solo tengo una duda, por ejemplo, yo añado una sección al ejecutable, como podria hacer para que el EntryPoint apuntara a esa nueva sección?

No entiendo demasiado bien hacia adonde apunta el EntryPoint despues de usar tu funcion... Talvez este idiota :-[ :xD :xD :xD

Saludos :P

ricardovinzo

Hola Cobein, hey amigo una pregunta.. yo no se ni entiendo nada de esto de los PE y eso.. serias tan amable de pasarme un tutorial para aprender desde 0?

Gracias y disculpa!
3# Convocacion de Moderadores en Code Makers, entra!