07.02.2011, 00:17
(06.02.2011, 23:53)sILeNt heLLsCrEAm schrieb: Aber bei einem Code Virtualizer sieht das schon wieder ganz anders aus. Diese arbeiten nach einem anderen Prinzip.Hey,
ich dachte wir reden lediglich von einem Packer und nicht einem Obfuscator/Protector?
(06.02.2011, 23:53)sILeNt heLLsCrEAm schrieb:Ich muss eine gepackte EXE nicht entpacken um sie zu patchen. Lediglich muss ich wissen, wann ich wo welche bytes hinzuschreiben habe. Wenn du bei UPX z.B patchst, bevor alle Entpackungsroutinen abgelaufen sind, hast du zur Runtime wieder den Originalcode. Leitest du den Jump zum OEP jedoch zu deiner CodeCave um und schreibst dann die erforderlichen Bytes bevor du wieder zum OEP springst, hast du zur Runtime eine modifizierte exe. Und dafür brauchte man noch nicht einmal den Packer entfernen. Du hast ja selber schon das Stichwort Inline Patch gebracht.(06.02.2011, 21:40)Acubra schrieb: Wenn man jedoch die .exe patchen möchte, finde ich es um einiges leichter eine nichtgepackte .exe zu patchen, da man sich nicht mit der Entpackungsroutine des Packers beschäftigen muss.Falsch. Um eine gepackte EXE patchen zu wollen müsstest Du diese erstmal entpacken. Ist diese insofern verändert worden das Du diese nur manuell entpacken kannst musst Du dich zwangsläufig damit auseinandersetzen.
(06.02.2011, 23:53)sILeNt heLLsCrEAm schrieb: Ich wiederrum finde es besser und eleganter eine EXE im gepackten Zustand zu patchen. Funktioniert allerdings nicht bei jedem Packer/Encrypter.Das man nicht jeden Packer/Encryptor "inlinen" kann war mir nicht bewusst. Kannst du da ein spezielles Beispiel bringen?
Beispiel...
Du hast eine gepackte EXE mit einer Größe von 10 MB. Entpackt hätte diese Datei eine Größe von, sagen wir mal 150 MB. Was wäre jetzt wohl sinnvoller? Im gepackten, oder entpackten Zustand patchen? Ich denke das sollte jetzt klar sein das ein Inline Patch schon sehr wohl nützlich ist. Mal abgesehen davon... Ein Inline Patch ist im Grunde auch nichts anderes als eine Code Injection, nicht mehr und nicht weniger. Vielleicht mach ich mal nen Tutorial mit einer "Crackme" dazu.
PS: Sorry für Offtopic ;P
"Auf dieser Welt gibt es mehr Scheisse als auf Festivalklos"
![[Bild: hoglogo_smalpxga.jpg]](http://h-2.abload.de/img/hoglogo_smalpxga.jpg)