Bueno, me a dado por hacer esto esta tarde y e conseguido a mano cambiar el entry point del ejecutable mediante cambios en los opcodes del ejecutable en disco, e echo que me saltase a una region de la sección .txt que estaba vacia....y consegui inyectar dentro de esto unos cuantos opcodes, pero el espacio es limitado....y segun tengo entendido, el codigo solo puede ir dentro de la sección .txt, asi que, hay algun metodo (en C/C++ o en otro lengauje, da igual) para reservar mas espacio en la sección .txt?? ya que no me quiero cargar el ejecutable, solo inyectar codigo en el ejecutable en disco.

PD: lo de cambiar el entry e inyectar codigo en la sección .txt sin substituir ningun opcode necesario lo e echo en VB..esto ya de por si tiene merito  aunque una vez pueda portarlo lo portare o a C++ o a C#. 

Please, help me. 

Un Saludo. 

y tb puedes escribir en otras secciones no necesariamente en text, puedes hasta añadirle tu propia sección a la cabecera y meter codigo.

Por cierto Mek, sabes la api usada para crear la nueva sección??? es que hace unos dias lo busque y lo encontre, y ahora no lo encuentro ( ), borre el historial asi que no puedo buscar en el.

Un Saludo. 

Muchas gracias Mek, esto me va a servir. 

la idea es que tienes que leer sobre encabezados PE, pq si no logras encontrar el numero de secciones que esta en PE+6 esque algo falla. la estructura es igual para todos los ficheros PE cuando sepas donde se encuentra en uno es lo mismo para todos. abre tu editor hex y mira 6 bytes mas alla de PE que numero tienes y veras que es el numero de secciones que contiene el ejecutable. ojo al modificar que este campo es de tamaño word no vayas a sobreescribir los demas datos.

saludos.

PD: PE es el identificador de la cabecera y como tal se cuenta  añade los 6 desde la letra P.

pero para que quieres reparar la IAT?

eso es lo que te digo en el otro post de calcular el desplazamiento. los parametros de messagebox las cadenas estan en una direccion fija dentro de tu ejecutable, por lo que si cambia su ubicacion ves a saber lo que le pasa como parametro. de la misma forma que te dije que llamarias a una funcion call [ebp+offset funcion] para las variables mas de lo mismo push [ebp+offset variable] ebp logicamente es el valor del desplazamiento.

Mek, ya lo e echo...reparando las direcciones y todo eso a mano....pero lo tenia dentro de espacio sobrante de la sección .text...el problema es cuando intento crear mi sección con el tamaño que quiera, lo logro hacer todo, redimensiono las secciones para que las lea bien y todo y a mi parecer esta todo correcto, el icono es el mismo (por lo tanto la sección de resources esta bien) y todo correcto (a mi parecer), pero al darle doble click me dice que es una aplicaciones Win32 invalida....al pasarle el dumpbin no me marca ningun error al hacer lo siguiente:

dumpbin /all archivomodificado.exe > info.txt

A veces, antes me marcaba errores y me ponia todos los valores de eax, ebp y demás registros, pero esa vez me lo marco correcto y no me funcionó....Alguna sugerencia?? tengo que modificar algo mas??? Pensé que solo podria haber una sección en el ejecutable con los flags que indiquen que es codigo....pero no fue asi...luego modifique lo que dice: Size of code por la suma de mis 2 secciones de codigo y tampoco funcionó...y ya no se que mas hacer....

Un Saludo.