Desencriptacion en Memoria

Hendrix · 26 Mayo 2006, 18:30 PM

Weno, hacia ya tiempo que no preguntaba en este subforo....ya es hora de preguntar algo...

Bien, supongo que todos konoceran al themida por ejemplo, no??? pos me gustaria saber si es posible en VB desenkriptar una rchivo en memoria (es decir, sin desenkriptar el archivo y luego ejekutarlo...)

O por ejemplo lo que hace en UPX, que "reestablece" los datos en memoria....

Alguien podria ayudarme en esto????

Salu2 y gracias...

Eternal Idol · 26 Mayo 2006, 18:33 PM

Si, se puede hacer. Con las funciones de la familia Virtual* (VirtualAlloc, VirtualProtect, etc).

Hendrix · 26 Mayo 2006, 18:44 PM

me puedes dar algun ejemplo???? $:-\$ $:-\$ $:-\$

Gracias....en kuanto pueda (ahora mismo no puedo) me mirare a fondo estas funciones aparte de la info que me des...

Salu2

Eternal Idol · 26 Mayo 2006, 18:49 PM

Cita de: _Hendrix_ en 26 Mayo 2006, 18:44 PM
me puedes dar algun ejemplo???? $:-\$ $:-\$ $:-\$

Gracias....en kuanto pueda (ahora mismo no puedo) me mirare a fondo estas funciones aparte de la info que me des...

Hace mil años que no programo en VB pero el UPX es Open Source.

Hendrix · 26 Mayo 2006, 18:56 PM

el upx esta en VB???? si esta en C no se si lo voy a saber traducir....pero weno...da igual, me esforzare en entenderlo....

Salu2 y gracias...

Eternal Idol · 26 Mayo 2006, 19:07 PM

Creo que esta en C y sino en C++.

Hendrix · 26 Mayo 2006, 19:14 PM

Bien, kuando guardo 2sitio" en la memoria para poner alli el programa...que ago?? porgo el kode ya desenkriptado kon WriteMemory???? $:-\$ $:-\$ $:-\$

Salu2

byebye · 26 Mayo 2006, 21:01 PM

esque no guardas el codigo en una segunda zona (puede que alguno asi lo haga) pero poniendo el upx de ejemplo. digamos que el añade al ejecutable a comprimir la rutina de compresion y lo modifica el entrypoint para que apunte a esa rutina para que lo descomprima en cada ejecucion.

digamos que lo que hace es mirandolo de forma simpel asi:

inicio del programa (rutina que descomprime)

codigo
codigo
codigo
......
jmp direccion original donde empieza el codigo del programa.

tb te puedes encontrar compresores que añadan sus propias cabeceras y descompriman las originales en ejecucion o "poco a poco" todo depende.

Hendrix · 26 Mayo 2006, 21:37 PM

Y eso de modificar el Entry Point en VB que tal esta??? Ademas, hacia donde lo tengo que apuntar para que se desenkripte??? ya que yo lo que e entendido es que primero hace unas acciones el upx y luego ejektua el codigo normal... $:-\$ $:-\$ $:-\$

Salu2 y gracias por esforzaros a explikarlo...

Eternal Idol · 26 Mayo 2006, 21:45 PM

Modificar el entry point es muy simple, es un DWORD (cuatro bytes). Tenes que saber bien el formato PE.