PE DATA und CODE Section dumpen / modifizieren / hinzufügen
 

Hey,

hat jemand ein kurzes Beispiel mit dem ich alle Sections einer PE Datei auflisten, deren Inhalt anzeigen und verändern und neue Sections hinzufügen kann?

Wäre genial :thumb:

Gruß Florian

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Schau dir mal die Beispiele in der Jedi zu diesem Thema an. Viewen geht auf jedenfall.

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Der Debugexperte der JCL komprimiert das MAP File und nagelt es als eigenes Segment ans EXE. Fuer die anzeige schau die das JCL-Beispiel PEViewer an.

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Ist ja ganz einfach, ließ einfach die Datei im Speicher ein (z.B. GetMem oder VirtualAlloc oder MMF benutzen) und danach einfach die TImageNtHeader auslesen usw, danach sind gleich die Sektionen Header die auf die auf den beginn einer Sektion zeigen..

Hier hast du mal eine ähnliche Frage gestellt die ich auch beantwortet habe aber egal ..
http://www.delphipraxis.net/internal...576&highlight=

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Was willst du denn mit der neuen Section machen? Daten hinzufügen, oder etwas Code (Virus?) anhängen?

Durch das File- und Sectionalignment ist auch meist am Ende einer Section noch etwas Platz. Schau mal, ob dieser Platz dir reicht.

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

@ErazerZ: Ah stimmt .. den Code hatte ich schon ganz vergessen. Da guck ich nochmal :)
@sirius: Ja, ich will Code anhängen. Wozu ist eigentlich egal .. (nein, kein Virus ;) - da hab ich Besseres zu tun) wenns interessiert: Es soll erstmal nur eine Studie der PE Sturktur und Funktionen sein. Hinterher will ich bisschen mit integrierten Hooks rumspielen ..

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Ja sogenannte Code-Caves sind meist mit Nullen gefüllt. Aber angenehmer ist trotzdem eine neue Sektion zu erstellen, da braucht man sich nicht so viele sorgen um den Platz machen :).

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Jap, dachte ich mir auch :) Werde mal gucken ob ich das hinbekomme. Hab da eventuell noch ein paar spezielle Fragen. Aber da komme ich einfach mal in MSN :D

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Tut mir Leid, wenn ich falsch liege, aber kann es sein, dass du an einem Trojaner mit Rootkitfunktion arbeitest? Bei fast allen deinen Themen geht es um Hooks, Segmente in Exe-Dateien lesen und schreiben, eine Exe-Datei zu packen, Streams per Indy zu versenden und sogar die Festplatte physisch zu lesen und zu beschreiben. Außerdem hast du diesen "Leaktest" gemacht, der die Firewall umgeht. :|

Also sei mir bitte nicht böse, wenn ich unrecht habe, aber deine Themen legen die Vermutung nun mal nahe...

Re: PE DATA und CODE Section dumpen / modifizieren / hinzufü
 

Nein, ich arbeite nicht an einem Rootkit oder ähnlichem .. die Hook Themen zielen sogar auf das Gegenteil, nämlich einem AntiRootkit Programm ab. Du erinnerst dich SSDT Hooks unhooken, etc?
Schonmal einen Trojaner gesehen, der die Indys verwendet? :lol: Da wäre das Ding ja direkt 300Kb groß. Festplatte physisch lesen war aus reinem Interesse und hat bisher keine Verwendung in irgendeinem meiner Projekte gefunden. Der Leaktest .. nagut meinetwegen könnte ich ihn dazu verwenden um Firewalls zu umgehen, aber auch Dateien packen oder dieses Thema haben einen ganz anderen Hintergrund und mir fällt auch nicht ein, wie man dieses Wissen für ein Rootkit oder einen Trojaner verwenden könnte.
Möchte hier auch keine Diskussion haben .. mir wird schon genug von anderen Leuten hinterherspioniert :evil: