Exe csomagolás - a nehezebb utat

EXE csomagolás - The Hard Way

Pack EXE fájlt kézzel - egyik fontos művelete elvégezhető egészen elemi ..
Sok oka van annak, hogy titkosítja a fájlokat, mint például a szoftver elleni védelem változások, hacker, stb Hecker Néhány használja a titkosításhoz és viriev troev, bevezetése a rosszindulatú kódok kész .exe, a lehető legrövidebb hogy leplezzék a rosszindulatú programok, scriptek, kódok.

Másik előnye a kézi titkosítás megkerülve antivirusnikov vagy átalakítás nélkül rosszindulatú kódot a kódot írtak alá, a minősített Antivirus.

Kezdjük azzal, hogy a belépési pont (.text. Date. RSRC) titkosítást igényel.
De ha a helyét a vírus aláírás ismert titkosítani kívánja csak a kártékony programkód részén definiált bájt.
Kis XOR függvény kell kódolni (mozgatni a kódot fertőzött fájl), annak érdekében, hogy lehet titkosítani és egy fájlba.


Ha egy fájl titkosítása, meg kell futtatni, és a kizáró funkció indul el a fájlt. A program elindítása, egy titkosított rosszindulatú kód visszafejtése memóriában izapuskaetsya fertőzött programot. Következésképpen, az anti-vírus nem fut a két fájlt (EXE jóindulatú és rosszindulatú kód), és egy, amit találtam egy biztonságos, nem definiált Antivirus. Mi az XOR függvény?
XOR, más néven a kizáró VAGY, egy bitenkénti dvooichnoy matematika. XOR szereplő értéke 1, ha az első vagy a második bit értéke 1. Hasonlóan, XOR szereplő vozvroschaet 0 niodnogo vagy mindkettő értékeit az 1. és a 2. bit értéke 1.
Tudja magyarázni ezt a táblázatot:

XOR operátor arra, hogy eltolja a változás (nullák és egyesek) egy darab sima kód létrehozásához a rejtjelezett.
Más szóval, ha egy darab kódot száműzni a XOR kétszer, a változásokat a forráskód nem lesz, vagyis után titkosítás XOR'om már titkosított kód XOR'om - kód visszafejtése az eredeti állapot.

Cserélje belépési pont titkosítási folyamat végrehajtása a titkosítási folyamatot a verem, majd vissza a helyettesített darab forráskódú program (belépési pont különösen), vissza az eredeti fertőzött programkód végrehajtása után a rosszindulatú kódot.

Titkosítása a kódot kell egybe tiszta kód fertőz egy programot, akkor lenne kódolt formában tárolt fájlt (drop).
Legközelebb, amikor elkezd egy programot fertőzött megfejteni ezt a kódot.

Most a végén fájlt keres DB 00 a veremben. Ha ez a rész nem írásvédett, akkor minden rendben van, nem kell változtatni az engedélyek részben.

Ha hiba történt, akkor ez a rész védett, és lesz, hogy módosítsa a PE részén, hogy hozzáférjen redakttirovaniyu.

Ez könnyen elvégezhető a LordPE (megváltoztatja a tulajdonságait a szakaszok)

Nyílt LordPE betöltjük a fájlt, lök § gombot. Ezt követően, a jobb adatok részben vyberaem tulajdonságait. Távolítsuk el a \ set-golochki általában lehetővé teszi a fájl elérhető változtatni, és indítsa el (írható és futtatható). Ez a fájl kész.

Az alábbi algoritmus titkosítására használják a XOR-szakasz. Tény, hogy ez a banális titkosítani minden bájt adatot szakasz (@ 0040129c) tekintetében a fő (0f). A ciklus végére érve leáll az adatok szakasz (@ 0040E46C)

A végső kódot kell kinéznie:

Most, hogy a töréspontot végén a ciklus, a vonal 0040e510, és futtatja a kódot. Miután a végrehajtása megszakad, mentse a fájlt és kilép OllyDbg

Kapcsolódó cikkek