Crypter FUD bekommen?

APIs gecrypted?

hiho...,
als erstes solltest du oben auf projekt -> eigenschaften -> kompilieren -> und zu p-code kompilieren aktivieren.

und als n?chstes alle w?rter wie stub, server, crypter oder sonst was, was b?se sein k?nnte, verschl?sseln, oder umbenennen.

danach pfade wie Environ("windir") & "\system32... verschl?sseln, zum beispiel mit rc4, damit es so aussieht Environ(RC4("windiraberverschl?sselt","Passwort"), am besten du verschl?sselt alles, was du kannst, AUCH registry pfade.

Und zum schluss, wenns immernoch nich fud ist, apis crypten, wie steve schon gesagt hat.

Wenn du hilfe ben?tigst, kannst mich ruhig anschreiben(318964794)

Mfg
Slay2oo7

Diese Dropper-meldungen kannst du wegkreige, indem du die Rawsize der letzen Section um die Gr??e der angeh?ngten Datei erh?hst

da ich nicht genau wei? ob du meine PN bekommen hast hier nochmal f?r alle:

______  __                 _____                     
___  / / /_____ _______ _____  /______ _____________ 
__  /_/ /_  __ `/_  __ `__ \  __/  __ `/_  ___/  __ \
_  __  / / /_/ /_  / / / / / /_ / /_/ /_  /   / /_/ /
/_/ /_/  \__,_/ /_/ /_/ /_/\__/ \__,_/ /_/    \____/ 

				aka
	_________            ___    __      __________
	__  ____/______________ |  / /___  ____  ____/
	_  /    _  __ \_  ___/_ | / /_  / / /_____ \  
	/ /___  / /_/ /  /   __ |/ / / /_/ / ____/ /  
	\____/  \____//_/    _____/  \__,_/ /_____/   
					presents:         


==mein Tool wird mit AV-Meldungen wie Tr.Dropper oder Dr.Delphi.Gen.
 erkannt!==============
======================




sie werden in den meisten F?llen dadurch verursacht, dass an der EXE ein sogenannter Overlay oder EOF h?ngt.
Also angeh?ngte Infos, die nicht zur eigtl. Datei geh?ren.
Ich gehe mal davon aus, dass ihr euch rudiment?r mit dem PE-Format auskennt, wenn nicht wirds aber h?chste Zeit!
Lest dazu am besten: [url]http://www.deinmeister.de/w32asm5.htm[/url], [url]http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx[/url] und/oder [url]http://win32assembly.online.fr/pe-tut1.html[/url] durch.


==Wie kann die "normale" Dateigr??e eigtl erkannt werden, wenn im PE-Format gar keine Dateigr??e steht?
==========




Berechtigte Frage, eine Dateigr??e ist im PE-Format auch wirklich nicht eingeplant, dennoch kann man die "normale"
Dateigr??e herleiten, indem man:
Die Gr??e der Header (ms-dos, NT, Sections) mit der Raw-size aller Sections addiert!
Die Rawsize ist die Gr??e der Section auf der Festplatte, im Gegensatz zur VirtualSize, die die Gr??e im Speicher
angibt. Aber das wusstet ihr ja bereits alle. ;)


==Und was macht man jetzt dagegen?
===============================================================================




So kompliziert die Erkl?rung, so einfach die L?sung, man erh?ht einfach die Rawsize der letzten Section um die
Gr??e des Overlays. Schon kommen AVs bei der Berechnung auf die richtige Gr??e.
Das kann man zum Beispiel mit Tools wie LordPE sehr einfach machen. Akternativ habe ich euch mal eine Delphi-
Prozedur geschrieben, die euch das abnimmt:
[code]
procedure AlignEOF(Base : Pointer; EnlargeSize : Integer);
var
  PDOSHeader : PImageDOSHeader;
  PNTHeader  : PImageNTHeaders;
  pSectionHeader : PImageSectionHeader;
begin
  pDOSHeader :=  Base;
  PNTHeader  := Pointer(Cardinal(Base) + pDOSHeader^._lfanew);
  pSectionHeader := Pointer(Cardinal(base) + pDosHEader^._lfanew + SizeOf(IMAGE_NT_HEADERS) + ((pNtHeader^.FileHeader.NumberOfSections - 1) * SizeOf(IMAGE_SECTION_HEADER)));
  pSectionHeader^.SizeOfRawData :=  pSectionHeader^.SizeOfRawData + Size;
end;

ganz einfach, oder?
greetz, Hamtaro Aka CorVu5

[/code]

es kommt drauf an, ob die stub detected wird, oder die gecryptete datei... also sach an :-P...

Zitat

procedure AlignEOF(Base : Pointer; EnlargeSize : Integer);
var
PDOSHeader : PImageDOSHeader;
PNTHeader : PImageNTHeaders;
pSectionHeader : PImageSectionHeader;
begin
pDOSHeader := Base;
PNTHeader := Pointer(Cardinal(Base) + pDOSHeader^._lfanew);
pSectionHeader := Pointer(Cardinal(base) + pDosHEader^._lfanew + SizeOf(IMAGE_NT_HEADERS) + ((pNtHeader^.FileHeader.NumberOfSections - 1) * SizeOf(IMAGE_SECTION_HEADER)));
pSectionHeader^.SizeOfRawData := pSectionHeader^.SizeOfRawData + Size;
end;

Alles anzeigen

Kann mir mal jemand erklären, wie ich den Code einbaue, habe volle Probleme mit Avira!!! Die Stub selber ist FUD aber wenn ich die EXE gecrypted habe erkennt der jämmerliche AV es als "DRDelphi.Gen".
Weis da jemand eine Lösung.

Ja also du kannst es auch manuell z.b. mit LordPE machen. Wichtig ist, dass die du Grö�e der letzten PE Section (SizeOfRAWData) so vergrö�ert, dass die EOF Daten mit eingeschlossen werden. Dann validierst du noch SizeOfImage und die Checksum. Müsste reichen ..

Hi Zacherl, danke für deine schnelle Antwort, bin aber noch nicht so richtig durgestiegen, was du mir da sagen willst. Gibt es da vielleicht ein tut, das diese Vorgehensweise detailierter beschreibt???

Versuch einfach mal ein bischen Freespace hinten dran zu klatschen bei mich macht das meistens Avira weg

... du meinst die datei vergrössern, indem du bytes anhängst? Hab ich auch schon probiert, nur ohne Erfolg:(

Ne glaube Bytes anhängen wird nicht viel nützen. Avira erkennt korrupte PE Header. Lad dir mal das Programm LoadPE runter und benutze die RebuildPE Funktion. Wenn du Glück hast, ist damit den Problem gelöst. Ansonsten guck mal wo das Ende der letzten PE Section liegt. Dann siehst du ja wie viele Bytes noch nach dem Ende der Section kommen. Das sind die EOF Daten. Jetzt änderst du einfach die SizeOfRawData der letzten Section, um genau die Anzahl der EOF Bytes. Das würde ich vor dem Rebuilden machen, wenn du die VirtualSize und die SizeOfImage danach nicht auch manuell anpassen willst. Die Checksum würde ich vor dem Rebuilden auch neu berechnen lassen. Ist alles ziemlich selbsterklärend im LordPE Programm.

... ich Danke euch allen für eure schnelle Hilfe, anscheinend bin ich aber zu blöd, dies ohne tut umzusetzen:(. Wäre schön wenn es darüber ein ausführliches tut geben würde.:)