Hola como estan ? eh estado practicando estos dias moviendo el EntryPoint a otro lado en un .exe  por ejemplo el siguiente usando un stub de los crypters de Roda, moviendo esas dos lineas del PUSH y el CALL a otra parte donde se pueda  y luego actualizando todo con LordPE si me a funcionado todo bien sin romper el exe:
*
Imagen
*
Pero supongamos que quiero mover el EntryPoint de otro Exe como un server , se ve diferente el EntryPoint a comparacion del stub anterior me refiero por la cantidad de lineas y si lo muevo y actualizo se rompe el exe aqui dejo un ejemplo de el EntryPoint: 
*
Imagen
*
Como seria en el caso del segundo exe ? saldudos !
Hace rato que no juego con eso pero entiendo que el entry point tiene que estar siempre en una sección valida para eso. Por ahí lo moviste fuera de las secciones que si son validas.
Algo así como cuando marcas un sector de memoria como solo lectura (esto se hace para evasion)

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
DSR! escribió: 28 Ene 2022, 06:20 Hace rato que no juego con eso pero entiendo que el entry point tiene que estar siempre en una sección valida para eso. Por ahí lo moviste fuera de las secciones que si son validas.
Algo así como cuando marcas un sector de memoria como solo lectura (esto se hace para evasion)
mmm... las secciones validas cuales seran ? siempre donde hay 00  .. sera que con Topo los huecos que encuentra podre meterlo hay
Cada sección de del ejecutable tiene un tamaño, entiendo dos cosas
1. que no todas las secciones pueden albergar el entry point
2. que un EDR reconoce cuando el entry point esta en una sección anormal y ya revisa especialmente eso

podes leer un poco mas sobre eso acá [Enlace externo eliminado para invitados]
Imagen

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
No me da para explicarte porque es muy largo y no tengo ganas jaja pero no todo los ejecutables son iguales. Y todo eso te pasa porque no comprendes lo que estas haciendo , solo sigues un manual y quieres aplicarlo a otro ejecutable que no se puede.  No quiero desilusionarte pero insisto en que aprendas a programar, todos esos manuales y explicaciones son muy antiguos y están obsoletos a no ser que en tus tiempos fueras un pro del modding y puedas reinventar métodos antiguos (Complicado). un saludo amigo
Zion-92 escribió: 27 Ene 2022, 15:56 Hola como estan ? eh estado practicando estos dias moviendo el EntryPoint a otro lado en un .exe  por ejemplo el siguiente usando un stub de los crypters de Roda, moviendo esas dos lineas del PUSH y el CALL a otra parte donde se pueda  y luego actualizando todo con LordPE si me a funcionado todo bien sin romper el exe:
*
Imagen
*
Pero supongamos que quiero mover el EntryPoint de otro Exe como un server , se ve diferente el EntryPoint a comparacion del stub anterior me refiero por la cantidad de lineas y si lo muevo y actualizo se rompe el exe aqui dejo un ejemplo de el EntryPoint: 
*
Imagen
*
Como seria en el caso del segundo exe ? saldudos !
Mándame un MP. 
El conocimiento que no se comparte SE PIERDE...
Responder

Volver a “Cracking/Reversing”