07.02.2011, 01:05
(07.02.2011, 00:17)Acubra schrieb: Hey,Reden wir auch. Das war mehr so als kleine Randinfo zu sehen.
ich dachte wir reden lediglich von einem Packer und nicht einem Obfuscator/Protector?
(06.02.2011, 21:40)Acubra schrieb: Ich muss eine gepackte EXE nicht entpacken um sie zu patchen. Lediglich muss ich wissen, wann ich wo welche bytes hinzuschreiben habe. Wenn du bei UPX z.B patchst, bevor alle Entpackungsroutinen abgelaufen sind, hast du zur Runtime wieder den Originalcode. Leitest du den Jump zum OEP jedoch zu deiner CodeCave um und schreibst dann die erforderlichen Bytes bevor du wieder zum OEP springst, hast du zur Runtime eine modifizierte exe. Und dafür brauchte man noch nicht einmal den Packer entfernen. Du hast ja selber schon das Stichwort Inline Patch gebracht.Okay... Halten wir eins mal fest. Der Inline Patch sollte natürlich dann aufgerufen werden wenn der Loader Stub abgearbeitet wurde. In der Regel bietet sich an, den Jump zum OEP umzubiegen. Halten wir weiter fest... Den Packer kannste auch nicht entfernen, denn der ist in der EXE nicht drin. Sondern nur der Loader bzw. der Algo der die EXE in den Arbeitsspeicher entpackt.
(06.02.2011, 21:40)Acubra schrieb: Das man nicht jeden Packer/Encryptor "inlinen" kann war mir nicht bewusst. Kannst du da ein spezielles Beispiel bringen?Im Prinzip fallen hierunter alle Encryptoren. Reine Packer fallen nicht hierein. Da aber heutzutage viele, als Packer benannte Anwendungen, ebenfalls mit immer mehr Schutzmechanismen ausgestattet werden, wären da zu nennen... PECompact, Mew, RLPack, nPack, eXPressor...
Irren ist menschlich. Aber wer richtigen Mist bauen will, braucht einen Computer !!!
Traineranfragen per PM werden prinzipiell gelöscht...
![[Bild: signatur6akm7.gif]](https://abload.de/img/signatur6akm7.gif)
Traineranfragen per PM werden prinzipiell gelöscht...