Русский / Russian English / Английский

Сейчас на форуме: CDK1234, 1-SDK (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› ASM & NET.FrameWork
Посл.ответ Сообщение

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 16 марта 2020 23:19 New!
Цитата · Личное сообщение · #1

Вечер Добрый.

Хотел у вас поинтересоваться
как имея отладчик hex редактор и программу на NET.FrameWork
добавить две секции 1-я .rsrc c иконкой и справочной информацией вторая добавленная секция загрузчик в нее нужно добавить еще и код на асемблере вычитающий 1 байт с последнего адреса программы при каждом запуске ?

То есть нужен код на асм вычитающий последний байт и сохраняющий программу после чего делающий вызов или прыжок на
на адресс EP ff2500204000 jmp dword ptr 004002000h который загрузит exe без ошибки mscoree.dll вот такой вот вопрос.

ах да вот файл

{ Атач доступен только для участников форума } - net.exe

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 16 марта 2020 23:28 · Поправил: Rio New!
Цитата · Личное сообщение · #2

https://exelab.ru/f/?action=vthread&forum=5&topic=4376

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 16 марта 2020 23:34 New!
Цитата · Личное сообщение · #3

Rio попробуйте с конца загрузить из оверлея ,дальше обвесить кодом вычитания последнего байта тут уже по сложнее попробуйте на самом ехе потренироваться потом раскажите как оно вышло

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 16 марта 2020 23:50 · Поправил: Rio New!
Цитата · Личное сообщение · #4

sdk4 пишет:
Rio попробуйте с конца загрузить из оверлея

А оно мне надо?
Вы спросили:
sdk4 пишет:
как имея отладчик hex редактор и программу на NET.FrameWork
добавить две секции

Всё остальное что вы хотите, это уже ваши дальнейшие манипуляции.
sdk4 пишет:
попробуйте на самом ехе потренироваться

потренировался уже (когда писал криптор лет n назад).
sdk4 пишет:
Надо проверять.

обязательно учту

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 16 марта 2020 23:53 New!
Цитата · Личное сообщение · #5

Rio а вы когда пишите проверяете сведенья? Надо проверять.

Добавлено спустя 15 часов 49 минут
ну что есть новости что в газетах пишут?


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 17 марта 2020 20:13 New!
Цитата · Личное сообщение · #6

Манипуляции с модулям от самопроверок в нём зависят --> Link <--

Общий способ при инфекте это создать копию процесса(так большинство крипторов делают, в частности что бы избежать коллизий с занятой памятью как у тебя недавно было), либо локально отменить изменения, но при этом придётся обрабатывать файловые апи для возврата оригинального файла.

| Сообщение посчитали полезным: sdk4


Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 18 марта 2020 19:59 New!
Цитата · Личное сообщение · #7

difexacaw секции можно добавить через xn resurce editor (добавил программу в атач+2секции на опыты ) а вот отладка и стабильная работа это уже сложнее это уже нужны специально обученные люди
а еще код вычита байта в общем дело не простое.

{ Атач доступен только для участников форума } - net - sec.exe


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 18 марта 2020 20:13 New!
Цитата · Личное сообщение · #8

sdk4

А что мне с этим семплом делать, какая задача ?

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 18 марта 2020 20:27 New!
Цитата · Личное сообщение · #9

difexacaw вообще задача добавлять две сеции (ресурсы иконка ) и вторая секция с кодом на asm вычитания 1байта при каждом запуске для любых net приложений.
изначально задача была такая но в нашем сельпо никто не умеет такого ,а что с этим сэмплом делать - можно попробывать отладить его до рабочего состояния написать сюда для всех полезную информацию к размышлению а можно и в корзину положить кому интересно может придумает что то новое на этом принципе в плане антиотладки автоматикой.


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 18 марта 2020 20:40 New!
Цитата · Личное сообщение · #10

sdk4

Я имею ввиду какая задача по этому семплу, что нужно с ним делать - найти ошибку, или как то пофиксить или что ?

Вообще задача должна ставиться раньше семпла, иначе это даже не гадание.. вот семпл и потом я скажу что это и зачем"

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 18 марта 2020 22:30 · Поправил: sdk4 New!
Цитата · Личное сообщение · #11

difexacaw да найти ошибку и попытаться запустить с этими 2мя секциями .

(вообще просто попробуйте добавить к этому сэмплу из первого поста свои 2 секции
в одной вашу иконку во второй любой код на асм и прыжок на еп вызова длл из этой секции в этом пока что проблема)


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 18 марта 2020 22:46 New!
Цитата · Личное сообщение · #12

sdk4

Тяжёлый случай конечно. А почему сам не попробуешь и не напишешь что не получается ?

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 19 марта 2020 23:15 New!
Цитата · Личное сообщение · #13

difexacaw та вот думаю что профессионалы скажут

Ранг: 4.2 (гость)
Статус: Участник

Создано: 20 марта 2020 02:10 New!
Цитата · Личное сообщение · #14

sdk4, можно подгрузить .net сборку в любое приложение .net следующим образом https://webcache.googleusercontent.com/search?q=cache:https%3A%2F%2Fgist.github.com%2Fsub7ee%2F6e5a27aa1a55454b5d93f1f209981e38. Или если выполнение нативного кода критично, можно добавить директорию TLS, код будет вызван через колбек, который загрузчик вызовет во время инициализации процесса.

Ранг: -14.4 (нарушитель)
Статус: Участник

Создано: 20 марта 2020 14:08 New!
Цитата · Личное сообщение · #15

hiddy интересно попробуйте поэксперементировать с net.exe и net - sec.exe
 eXeL@B —› Вопросы новичков —› ASM & NET.FrameWork

Видеокурс ВЗЛОМ