ASM & NET.FrameWork

Сейчас на форуме: localhost1, vsv1, asfa (+5 невидимых)

Посл.ответ	Сообщение
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 16 марта 2020 23:19 · Личное сообщение · #1 Вечер Добрый. Хотел у вас поинтересоваться как имея отладчик hex редактор и программу на NET.FrameWork добавить две секции 1-я .rsrc c иконкой и справочной информацией вторая добавленная секция загрузчик в нее нужно добавить еще и код на асемблере вычитающий 1 байт с последнего адреса программы при каждом запуске ? То есть нужен код на асм вычитающий последний байт и сохраняющий программу после чего делающий вызов или прыжок на на адресс EP ff2500204000 jmp dword ptr 004002000h который загрузит exe без ошибки mscoree.dll вот такой вот вопрос. ах да вот файл f51f_16.03.2020_EXELAB.rU.tgz - net.exe

Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 16 марта 2020 23:28 · Поправил: Rio · Личное сообщение · #2 https://exelab.ru/f/?action=vthread&forum=5&topic=4376
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 16 марта 2020 23:34 · Личное сообщение · #3 Rio попробуйте с конца загрузить из оверлея ,дальше обвесить кодом вычитания последнего байта тут уже по сложнее попробуйте на самом ехе потренироваться потом раскажите как оно вышло
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 16 марта 2020 23:50 · Поправил: Rio · Личное сообщение · #4 sdk4 пишет: Rio попробуйте с конца загрузить из оверлея А оно мне надо? Вы спросили: sdk4 пишет: как имея отладчик hex редактор и программу на NET.FrameWork добавить две секции Всё остальное что вы хотите, это уже ваши дальнейшие манипуляции. sdk4 пишет: попробуйте на самом ехе потренироваться потренировался уже (когда писал криптор лет n назад). sdk4 пишет: Надо проверять. обязательно учту
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 16 марта 2020 23:53 · Личное сообщение · #5 Rio а вы когда пишите проверяете сведенья? Надо проверять. Добавлено спустя 15 часов 49 минут ну что есть новости что в газетах пишут?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 17 марта 2020 20:13 · Личное сообщение · #6 Манипуляции с модулям от самопроверок в нём зависят --> Link <-- Общий способ при инфекте это создать копию процесса(так большинство крипторов делают, в частности что бы избежать коллизий с занятой памятью как у тебя недавно было), либо локально отменить изменения, но при этом придётся обрабатывать файловые апи для возврата оригинального файла. ----- vx \| Сообщение посчитали полезным: sdk4
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 18 марта 2020 19:59 · Личное сообщение · #7 difexacaw секции можно добавить через xn resurce editor (добавил программу в атач+2секции на опыты ) а вот отладка и стабильная работа это уже сложнее это уже нужны специально обученные люди а еще код вычита байта в общем дело не простое. b36f_18.03.2020_EXELAB.rU.tgz - net - sec.exe
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 18 марта 2020 20:13 · Личное сообщение · #8 sdk4 А что мне с этим семплом делать, какая задача ? ----- vx
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 18 марта 2020 20:27 · Личное сообщение · #9 difexacaw вообще задача добавлять две сеции (ресурсы иконка ) и вторая секция с кодом на asm вычитания 1байта при каждом запуске для любых net приложений. изначально задача была такая но в нашем сельпо никто не умеет такого ,а что с этим сэмплом делать - можно попробывать отладить его до рабочего состояния написать сюда для всех полезную информацию к размышлению а можно и в корзину положить кому интересно может придумает что то новое на этом принципе в плане антиотладки автоматикой.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 18 марта 2020 20:40 · Личное сообщение · #10 sdk4 Я имею ввиду какая задача по этому семплу, что нужно с ним делать - найти ошибку, или как то пофиксить или что ? Вообще задача должна ставиться раньше семпла, иначе это даже не гадание.. вот семпл и потом я скажу что это и зачем" ----- vx
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 18 марта 2020 22:30 · Поправил: sdk4 · Личное сообщение · #11 difexacaw да найти ошибку и попытаться запустить с этими 2мя секциями . (вообще просто попробуйте добавить к этому сэмплу из первого поста свои 2 секции в одной вашу иконку во второй любой код на асм и прыжок на еп вызова длл из этой секции в этом пока что проблема)
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 18 марта 2020 22:46 · Личное сообщение · #12 sdk4 Тяжёлый случай конечно. А почему сам не попробуешь и не напишешь что не получается ? ----- vx
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 19 марта 2020 23:15 · Личное сообщение · #13 difexacaw та вот думаю что профессионалы скажут
hiddy Ранг: 4.2 (гость) Активность: 0.04=0.04 Статус: Участник	Создано: 20 марта 2020 02:10 · Личное сообщение · #14 sdk4, можно подгрузить .net сборку в любое приложение .net следующим образом https://webcache.googleusercontent.com/search?q=cache:https%3A%2F%2Fgist.github.com%2Fsub7ee%2F6e5a27aa1a55454b5d93f1f209981e38. Или если выполнение нативного кода критично, можно добавить директорию TLS, код будет вызван через колбек, который загрузчик вызовет во время инициализации процесса.
sdk4 Ранг: -14.4 (нарушитель), 2thx Активность: 0.31=0.31 Статус: Участник	Создано: 20 марта 2020 14:08 · Личное сообщение · #15 hiddy интересно попробуйте поэксперементировать с net.exe и net - sec.exe

Для печати