Einzelnen Beitrag anzeigen

Lyan

Registriert seit: 5. Aug 2011
188 Beiträge
 
#15

AW: ResourceDLL aus Speicher laden und direkt verwenden

  Alt 5. Okt 2012, 13:21
Nein, um ehrlich zu sein hab ich das nur gemacht um meinen code, der merkwürdigerweise von ein paar antivirenprog. als malware anerkannt wird (Gen., Dropper whatever) zu verschleiern. (hat auch geklappt).

Ich schätze die Bitdefender, kaspersky etc. haben Alarm geschlagen, weil ich vorher in der Resource ja einen sehr sehr langen String hatte (RC4 kodiert), diesen dann aus der Resource lud, dekodiert habe und dann via RunPE in dem speicher executed hab..

Sollte ein, bzw. ist nun ein Runtime-Packer.

EDIT://

Nun tarne ich diesen String als .jpg z.B., dieses JPG befindet sich in einer Resourcen DLL. Diese DLL hat eine Funktion in den exports, die mir das Bild als String zurückgibt. Diese DLL ist wieder als Resource in der EXE. Die lade ich dann direkt in den Speicher, greife auf die exportierte Funktion zu und lade dann via RunPE.

Geändert von Lyan ( 5. Okt 2012 um 13:24 Uhr)
  Mit Zitat antworten Zitat