AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Win32/Win64 API (native code) Delphi EXE aus recource starten ohne extra eine Datei zu erzeugen?
Thema durchsuchen
Ansicht
Themen-Optionen

EXE aus recource starten ohne extra eine Datei zu erzeugen?

Ein Thema von magicshadow · begonnen am 17. Mai 2003 · letzter Beitrag vom 23. Mai 2003
Antwort Antwort
Seite 3 von 3     123   
ShadowCaster

Registriert seit: 19. Mai 2003
71 Beiträge
 
Delphi 5 Enterprise
 
#21
  Alt 23. Mai 2003, 08:44
danke Motzi. Die Berechnung im vorherigen Posting von mir war übrigens fehlerhaft. es gibt eine virtual address für die Rawdata der Section, das ist der Beginnpunkt.

hab den Dreh mit den Sections jetzt raus und weiß jetzt zu 90% wie der Virus arbeitet. Jaja.. der Programmierer war ein ganz gewitzter. Die Virusdll hat zwei Einstiegspunkte. Ein Teil in jeder infizierten Exe wird nicht verschlüsselt. Das ist die Section der Dll die als Loader funktioniert. Wird die Exe gestartet und die Dll ausgeführt, wie sie ganz normal wie eine Dll gestartet mit dem Unterschied, dass der Einstiegspunkt jetzt ein anderer ist, der jedoch vorher in der exe verschlüsselt war. Falls ihr das nicht blickt, ich werd nächste Woche mal ne kleine Page ins Netz stelln. Dann kriegt ihr die Infos

Ansonsten hab ich den Dreh jetzt glaub ich 2/3 mit dem Exe-Format raus. Ich muss nurnoch den ursprünglichen Einstiegspunkt der Exe ermitteln und das dürfte nicht allzu schwer werden (muss ja nur in der infizierten Section danach suchen) und ihn in den PE-Header schreiben. Ansonsten hab ich gestern in ner Exe die virusinfizierte Sektion entfernt und das bei jeder infizierten Exe erfolgreich. Noch ein paar kleinere (jedoch schwierigere) Änderungen und wolla ich hab einen Remover

danke nochmal.. ich denke (ich hoffe) ich werd jetzt allein klar kommen.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:29 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz