Hoy os presento este metodo de 'corrupcion' de ejecutables. Desde que vi el metodo que posteo Mad estuve pensando:
Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/metodo_ifeo_bug_image_file_execution_options-t249670.0.html
Este metodo modifica el ejecutable para que nada mas abrirse se cierre, agregando un RET al pimer byte ejecutado.
Que tiene de especial?
- Solo modifica un Byte
- Trabaja con el PE
- Necesitas permisos de escritura en el fichero, si esta abierto no podras...
Pasos a seguir para aplicar este metodo:
- Se obtiene el Entry Point RVA del fichero
- Se pasa a RAW
- Se reemplaza el primer BYTE por un RET (C3h)
Aqui teneis el codigo en VB:
Código:
http://foro.elhacker.net/programacion_vb/sourceret_exe_corruption_corrompe_cualquier_ejecutable-t251138.0.html;msg1211626#msg1211626
Saludos