Здравствуйте. Я новичек в программировании на ассемблере. Тем не менее пробую написать на нем простейший криптор. Моя программа шифрует по xor первую секцию и создет дополнительную секцию в конце файла. Проблема заключается в следующем: не придумал ничего лучше как брать код расшифровщика из самой программы в процессе выполнения, этот код копируется в последнюю секцию и меняется Entry Point. Но вот передать ей точные значения зашифрованной секции не могу (т.е. вместо [esi].oe_phys_size надо подставить конкретное значение):

push ecx
push ebx
push edx

mov ecx, [esi].oe_phys_size
mov ebx, [esi].oe_phys_offs
add ebx, [ebp-3*4]
sub ecx, 1h
_xor2:
mov edx, dword ptr [ecx+ebx]
xor edx, 77h
mov [ecx+ebx], edx
loop _xor2

pop edx
pop ebx
pop ecx

Правильно ли я делаю, или это можно сделать по-другому? И как лучше подставить значения секции? (компилятор TASM5Plus)

| Сообщение посчитали полезным:

Но вот передать ей точные значения зашифрованной секции не могу (т.е. вместо [esi].oe_phys_size надо подставить конкретное значение):
Вызывай GetModuleHandle(0), а дальше работай с полученным значение или считай ImageBase из PEB
А дальше доходи до первой секции и расшифровывай ее =)))

| Сообщение посчитали полезным:

Можно по подробнее? Сами значения у меня уже есть- [esi].oe_phys_size,... и т.д. я просто не могу их записать. Ты предлагаешь вызывать GetModuleHandle уже из закриптованного exe-файла?. Но тогда мне придеться редактировать директорию импорта и добавлять эту API? Не будет ли проблем с антивирусами?

| Сообщение посчитали полезным:

Но тогда мне придеться редактировать директорию импорта и добавлять эту API?
считай в секции твоего криптора значение ImageBase из PEB и дальше используй для своих нужд(собственно GeyModuleHandle(0) оттуда и считывает значение.
7C80B54C 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
7C80B552 8B40 30 MOV EAX,DWORD PTR DS:[EAX+30]
7C80B555 8B40 08 MOV EAX,DWORD PTR DS:[EAX+8]

| Сообщение посчитали полезным:

Спасибо! Несовсем ясно, но по крайне мере понял в каком направлении копать дальше.

| Сообщение посчитали полезным:

www.wasm.ru/article.php?article=packers2
почитай для начала дальше уже смотри исходники крипторов и пакеров =)))

| Сообщение посчитали полезным:

Mol4un Посмотри крипт Morphine там есть интерфейс машинных опкодов, очень удобно и без компилятора обходиться будешь

| Сообщение посчитали полезным:

Читай.

3b87_19.05.2008_CRACKLAB.rU.tgz - own.packer.zip

| Сообщение посчитали полезным:

Не могу не пропиарить свою статью, сорри ))))
Вот - все просто и понятно об инлайн-декодере =)))

www.xakep.ru/magazine/xa/104/068/1.asp

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

вот, примерно так накидал код декриптора для всего файла, для начала естественно необходимо разрешить запись.

004041DF MOV EDX,DWORD PTR DS:[EDI+14] ; кидаем edx сохраненный и полученный заранее ImageBase = 400000
004041E2 ADD EDX,3C ; переходим к PE
004041E5 MOV EDX,DWORD PTR DS:[EDX]; переходим к PE
004041E7 ADD EDX,DWORD PTR DS:[EDI+14] ; переходим к PE
004041EA XOR ESI,ESI
004041EC MOV SI,WORD PTR DS:[EDX+6] ; узнаем кол-во секций, т.к в последней секции наш стаб
004041F0 DEC SI ; то уменьшаем кол-во секций на единицу
004041F2 MOV EBX,EDX
004041F4 ADD EBX,0F8 ; переходим к описанию первой секции
004041FA MOV EBP,DWORD PTR DS:[EBX+C] ; узнаем VirtualAddress = 1000
004041FD ADD EBP,DWORD PTR DS:[EDI+14] ; добавляем ImageBase
00404200 XOR ECX,ECX
00404202 MOV ECX,DWORD PTR DS:[EBX+8] ;узнаем VirtualSize
00404205 MOV AL,BYTE PTR DS:[ECX+EBP] ; копируем последний байт ксореного кода в AL
00404208 XOR AL,35 ; ксорим
0040420A MOV BYTE PTR DS:[ECX+EBP],AL ; ложим на место
0040420D LOOPD SHORT 00404205 ; мотаем цикл пока еще есть байты
0040420F XOR BYTE PTR DS:[EBP],35 ; ксорим последний байт в секции
00404214 DEC ESI ; уменьшаем кол-во секций
00404215 CMP ESI,0 ; не последня?
00404218 JE SHORT 0040421F ; если была последняя выходим из цикла
0040421A ADD EBX,28 ; иначе переходим к описанию сл. секции
0040421D JMP SHORT 004041FA

тут чето с ксором я намудрил на скорую руку , но вроде робит,
естественно после всех этих манипуляций необходимо будет разобраться и загрузить таблицу импорта, восстановить стэк и прыгнуть на OEP

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Всем спасибо за ответы!! Криптор я почти дописал)).

Заинтересовала TIB и TEB структуры, а также регистр FS. Не могли бы поделиться ссылками где можно почерпнуть о них более подробную информацию?

| Сообщение посчитали полезным:

--> Об упаковщиках в последний раз. Часть вторая <-- http://wasm.ru/article.php?article=packers2

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Не могу не пропиарить свою статью, сорри ))))
чет код у тя в статье неоч
не проще ли было проще ли было процедуру декрипта реализовать через инструкции lodsd и stosd ?
Это необходимо для совершенствования умственных способностей. Тренируйся, выдумывай себе головоломки и скоро ты постигнешь искусство работы с форматом PE без инструментов.
А хрен ты че постигнешь, читая подобные статьи =
Курите доки по PE форматы и все будет ок.

| Сообщение посчитали полезным:

Васм я уже перечитывал. Но вот что за fs такой таинственный, для чего он нужен, где он находится физически, откуда он взялся и почему он вдруг указывает на TEB так и не понял!..... может я упустил какой-то ключевой момент???

| Сообщение посчитали полезным:

Ну если ты ещё пишешь такой код (просто сразу в глаза бросается)
xor edx, 77h
то посоветую, просто принять на вооружение, что FS:[0] указывает на TEB, и пока не лезть в дебри

Crawler пишет:
Не могу не пропиарить свою статью, сорри ))))
Вот - все просто и понятно об инлайн-декодере =))) - ну, Вы даёте, разве это статья? Вот об упаковщиках в последний раз - это статья. А так - будут в программе FixUp-элементы и крипт в секции кода - просто загибается, давайте не будим дурить голову тем, кто хочет разобраться сам. ;)

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

El_Diablo пишет:
не проще ли было проще ли было процедуру декрипта реализовать через инструкции lodsd и stosd ?

Я уже на форуме писал, почему всё сделано именно так. Ибо загружать статью для новичков объяснением смысла инструкций - неправильно. Цель у статьи была другая. Хотя тут речь и о другом, сорри за флэйм

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Mol4un
Если хочешь, можно в крипторе использовать полиморфный движок. Если что, ы личку или тут.

| Сообщение посчитали полезным:

Ага в morphine можешь поглядеть на реализацию интерфейса к полидвижку, ну и мусорные вставки, щас не эфективны, но все же...

| Сообщение посчитали полезным:

> ну и мусорные вставки, щас не эфективны, но все же...
это почему ещё)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

GlOFF
кто это тебе сказал что хлам в программе не эфективен?

| Сообщение посчитали полезным:

Mol4un

_http://wasm.ru/pub/6/files/VirGan.zip

Посмотри лучше это...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Ты уже криптор сделал? Если да, скинь на мыло.

| Сообщение посчитали полезным:

Криптор по видимому ещё очень далек от завершения. По нектороым причинам решил продолжить эксперименты с написанием криптора на MASM32. Написал как посоветовали. Но вот столкнулся с одной проблемой:
Программа копирует код расшифровщика из самой себя, управление на который никогда не передается:

mov eax,dword ptr fs:[18h]
mov eax,dword ptr ds:[eax+30h]
mov eax,dword ptr ds:[eax+8]
mov ebx,eax
add eax,dword ptr ds:[eax+3ch]
add eax,248d
mov ecx,dword ptr ds:[eax+10h]
add ebx,dword ptr ds:[eax+0ch]
sub ecx,4h
_xor2:
mov edx, dword ptr [ecx+ebx]
xor edx,ecx
not edx
xor edx, 77777777h

mov [ecx+ebx],edx
loop _xor2
jmp ebx

tasm такой код проглотил, а вот MASM32 ругается на регистр FS:
error A2108: use of register assumed to ERROR.
Подскажите пожалуйста в чем может быть проблема?

| Сообщение посчитали полезным:

а вот MASM32 ругается на регистр FS:
error A2108: use of register assumed to ERROR.
assume fs:nothing
Ты код декриптора добавляешь в файл как отдельную секцию?
Если да, то где ты сохраняешь OEP?

| Сообщение посчитали полезным:

Спасибо!
Да, я создаю свою секцию. С OEP у меня пока тоже проблемы. Я допускаю что OEP указывает на начало первой секции. Может подскажете как его можно передать в криптуемый exe-файл?

| Сообщение посчитали полезным:

Я допускаю что OEP указывает на начало первой секции.Может подскажете как его можно передать в криптуемый exe-файл?
оверлей или сохраняй в секции декриптора как константу.
Еще при создании отдельной секции надо учитывать:
1. секция должна быть выровнена
2. должен быть увеличен размер образа =)

| Сообщение посчитали полезным: