[Hacking] Entrypoint-Verschieben [Text Tutorial mit Bildern]

Dieses Thema im Forum "Security Tutorials" wurde erstellt von peter hoden, 15. November 2008 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 15. November 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Entrypoint-Verschieben [Text Tutorial mit Bildern]

    So nachdem das Video scheinbar kaputt war / ist hier ein Text Tutorial zum EP-Moving!

    Benutzte Programme:
    - DarkOllyDBG
    - PE-Editor
    Download: Leider down - Google ;|


    Schritt 1
    Die markierte Adresse brauchen wir nicht, ist nur markiert das ihr wisst wo die Adressen der Zeilen stehen. Nur die Adresse des EP's ist wenn wir das Programm laden und nicht starten schwarz markiert und im rechten Feld (siehe Markierung) eingetragen!
    Die 2 markierten Codezeilen sind die 2 standardmäßigen EP-Codes bei vb6 Programmen, diese werden wir verschieben - hierzu kopieren wir sie!

    Spoiler
    Bild


    Schritt 2

    Mit Copy Binary kopieren wir die markierten Zeilen.

    Spoiler
    Bild


    Schritt 3

    Die kopierten Zeilen werden mit NOPs gefüllt., NOP bedeutet soviel wie: Tue nichts, da wir sie nicht mehr brauchen

    Spoiler
    Bild
    GeNOP't: https://www.xup.in/pic,27718652/4-codecave.JPG


    Schritt 4

    Jetzt suchen wir uns eine freie Stelle wo wir unseren kopierten Code einfügen können - freie stellen = DB 00 oder INT3

    Spoiler
    Bild


    Schritt 5

    Wir fügen unseren EP Code ein & Kopieren die neue Adresse! (in dem Fall 0040136B - Wir brauchen nur die letzten 4 Ziffern: 136B)
    Die hier!

    Spoiler
    Bild


    Schritt 6

    Alle Änderungen kopieren & Speichern!

    Spoiler
    Bild
    Bild
    Bild


    Schritt 7

    Jetzt im PE-Editor den neuen Entrypoint eintragen! (Nur die letzten 4 Ziffern) auf das Fragezeichen bei Checksum klicken - Speichern - FERTIG

    Spoiler
    Bild



    Ich hoffe ich koonnte euch helfen! Viel spaß damit!
     
  3. 15. November 2008
    AW: Entrypoint-Verschieben [Text Tutorial mit Bildern]

    Die Screenshots sind echt sehr gut gemacht gemacht, leider ist der Erklärungstext ein bisschen mangelhaft. Ein VB6 Programm als Beispiel für's EP-Verschieben zu nehmen ist schonmal eine sehr schlechte Wahl.

    Hier die Kritik:
    - Wie findet man den die freien Stellen (auch Code Caves genannt)? Hoch und runter scrollen ist eine schlechte Methode und bei einem größeren Programm ist es so sehr schwer bis unmöglich ein code cave zu finden. Ausserdem kann es vorkommen, dass Olly ein paar Code Caves hinzufügt obwohl es sie in dem Programm selber nicht gibt.
    Lösung: z.B. PEiD benutzen

    - Das ist natürlich ein netter Trick, aber was würdest du machen wenn deine "Adresse" so lautet: 00511068. Also ich denke du siehst selber das da noch eine sehr wichtige Erklärung fehlt.

    - Wie gesagt ein Visual Basic 6 Programm als Beispiel ist eine sehr schlechte Wahl. Bei anderen Programmen funktioniert der Tutorial, so wie er da steht, nicht und ein Tutorial-Leser wird das Wissen aus dem Tutorial auch nicht auf ein anderes Programm übertragen können...
     
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.