Ребят, наткулся я тут недавно на вот такую статейку по изменению hex кода, решил проделать такое с pinch'ем, но как только я начинаю затирать/менять символы на другие - трой перестаёт работать. В чём тут может быть проблемма ?
Надо знать какие именно изменять символы и что они означают. Возьми свежий PE Tools с сайта wasm.ru,открой его,открой криптованный пинч и в редакторе секций выбери последнюю секцию....дальше жми Disassemble,появится код декриптора,далее просматривай команды,ищи ту которую можно изменить без вреда для файла. Потом через WinHex ищешь hex-код той комманды и меняешь ее. Сейчас посмотрел декриптор,там в конце много пропусков (add [eax],al)...можно туда добавить кучу бесполезных комманд.
Умельцы ачата, призываю вас взяться за снятие видео на данную тему, имхо не только мне интересно будет. Заранее спс.
А смысл др ненужные команды добовлять?нам надо главный код поменять а не чтото еще приписать,если что припишем серовнопалить будет,и не факт что заработает.
Добавлять мусорные команды после кода декриптора не имеет наверно никакого смысла,так как они не будут выполнятся и скорее всего будут игнорироваться антивирусом!Если же это делать вручьную,то надо вырезать новую секцию с дешифровщиком и перекомпилировать её с предварительной вставкой мусора между основными коммандами,а так же и сами эти инструкции можно перебить на синонимы ,а затем поместить её на старое место!Или делать это программно,используя дизассемблерный движок для анализа кода и получения длин комманд! Впорчем,что то я туть заморочилась!
Модификация кода декриптора нет ничего проще. Вот сам код взятый из FreeCryptor v 0.3b build 002 при изначальных настройках : Порядок действий таков: Криптуем какое нить файло. Смотрим его OEP к примеру утилитой LordPe. Удаляем последнию секцию. В выше приведённом коде ставим этот Ентру поинт. Изменяем сам код,как хотим без нарушения работоспособности. Компилируем в бинарный файл. Открываем криптованный файл в котором удалили секцию расшифровщика в CFF Explorer. Щелкаем по Section Headers. Правой кнопкой мыши, Add Section(File Data) открыаем и добавляем в новую секцию наш бинарный файл. Сохраняем! ВСЁ! ЗЫ..забыла сказать,там в комментах написано...