Desencriptacion en Memoria

Hendrix · 27 Mayo 2006, 11:35 AM

Muchas gracias....esta en ingles pero weno....supongo que no habra info en español, no????

Todo lo que sea algo komplikado esta en ingles....

Salu2 y Gracias...

Eternal Idol · 27 Mayo 2006, 11:37 AM

No lo se la verdad (busca formato PE), en realidad TODO (o casi) esta en ingles y no demasiado en castellano. Es fundamental ENTENDER ingles para poder moverse en este mundo de la informatica ...

Hendrix · 27 Mayo 2006, 11:48 AM

ya...de entender lo entiendo...pero me kuesta bastante....

Navegando por google enkontre una tecnika que utilizan los virus que es exactamente lo que yo keiro hacer, que es esta:

Entry Point Obscuring

Pero tampoko se explika bien komo se hace, y si lo explika lo explika kon kodigo ASM.... $:-\$ $:-\$ $:-\$

En VB es muy dificil hacerlo que no sale por ningun lado???

Salu2

Eternal Idol · 27 Mayo 2006, 12:01 PM

Eso es cambiar el entry point, es lo que te estabamos explicando. Hay un DWORD (4 bytes) que indica la direccion (offset) del entry point. Tambien se puede meter un salto sobreescribiendo el entry point real pero es mas complejo y no tiene sentido en este caso ...

Mira bien el documento, busca entry point y si queres investiga y practica con el OllyDbg que es un depurador de modo Usuario bastante util para estas cosas.

Hendrix · 27 Mayo 2006, 12:04 PM

Ok....eso del DWORD lo e elido ya en el manual ek me pasaste....

Lo que me interesa saber es si en VB se puede manejar este DWORD y kon que funcion.....

Salu2 y Gracias....

Eternal Idol · 27 Mayo 2006, 12:06 PM

Cita de: _Hendrix_ en 27 Mayo 2006, 12:04 PMLo que me interesa saber es si en VB se puede manejar este DWORD y kon que funcion.....

Un DWORD son 4 bytes. ¿Como lo podes manejar? Para escribirlo en el archivo de la misma manera que escribis cualquier dato binario en un archivo. En memoria no necesitas cambiarlo para nada pero sino lo harias usando WriteProcessMemory.

Hendrix · 27 Mayo 2006, 12:10 PM

Ok...pos ya sta....ya lo se kambiar...

Otra duda...supongamos que la funcion de desenkritpacion esta en 4580

En el DWORD tendria que poner 4580??? o ponerle un jump hacia 4580????

Me esta kostando pero al final sale....

Graicas!!!

Hendrix · 27 Mayo 2006, 12:17 PM

Bien, por ahora e sakado esto:

Offset: 12
Size: 4
Field: VirtualAddress
Description: For executable images, the address of the first byte of the section relative to the image base when the section is loaded into memory. For object files, this field is the address of the first byte before relocation is applied; for simplicity, compilers should set this to zero. Otherwise, it is an arbitrary value that is subtracted from offsets during relocation.

Supongo que esto es a lo que te refieres tu....Bien, ahora voy a abrir un archivo .exe haber que kontiene en el offset 12, esto va a ser el Entry Point, no???

Si estoy ekivokado diganmelo y dejare de hhacer trabajo ek no importa...xD xD

Eternal Idol · 27 Mayo 2006, 12:38 PM

No.

Busca el campo AddressOfEntryPoint en 3.4.1.Optional Header Standard Fields (Image Only), es el offset 16.

Y te vuelvo a recomendar que uses el OllyDbg, con ese programa podes ver en memoria todo el ejecutable e incluso te muestra estos campos del PE.

Hendrix · 27 Mayo 2006, 12:43 PM

ok, ya tengo el Olly.....esta tarde me mirare el tutorial de Narvaja de komo moverme por el olly...porke no se buskar lso offsets en el olly...xD xD xD esta tarde ya tengo trabagito....aprender a manejar el olly... $:-\$ $:-\$

Salu2 y Gracias....