 Autor
|
Tema: borrado de PE header (Leído 4,693 veces)
|
CCA
 Desconectado
Mensajes: 18
|
hola quisiera saber y si me explicaran sobre el borrado de la cabesera del PE, yo lo que necesito es un code para agregar al de un chit para poder hacerlo indetectable, pero si me explican como puedo hacer este borrado se los agradezco
|
|
|
|
|
En línea
|
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
Pero para borrar el PE Header con un editor hexadecimal te sobra... lo único que debes de saber lo que quieres borrar, es evidente que la cabecera PE sirve precisamente para indicar las propiedades de ejecución del ejecutable...
Aún así entra en la sección "HERRAMIENTAS" y busca "Lord PE" tiene un buen visor de cabecera, o sino el mismo Stud_PE o alguno así.
Salu2..
|
|
|
|
|
En línea
|
|
|
|
CCA
Desconectado
Mensajes: 18
|
buenas shadowdark, mira lo que viene mi pregunta es sobre este post que tmb hice yo http://foro.elhacker.net/index.php/topic,194597.0.html y lo que quiero saber es que este método es para borrar completamente la pe header, es un método de hacer indetectable un módulo que se carga en la memoria de un proceso creo según he leido, pero lo que no entendia es sobre el borrado completo de la pe header o de algunos datos en ella solamente es decir la diferencia entre una cosa y la otra |
|
|
|
|
En línea
|
|
|
|
CCA
Desconectado
Mensajes: 18
|
mejor dicho la diferencia entre borrar la cabecera PE y modificar datos de ella, pero ambas formas por medio de programarlo, no de usar un programa como esos que dices, entonces que diferencias hay
|
|
|
|
|
En línea
|
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
a ver, no hay diferencia, para modificar datos de la cabecera PE lo que itenes que hacer es primero, buscas la SIGNATURA "PE" del ejecutable, y a partir de ahí sacas direcciones y bases de imagen para calcular las otras direcciones, todo a partir de la signatura al inicio del ejecutable "PE".
Salu2..
|
|
|
|
|
En línea
|
|
|
|
CCA
Desconectado
Mensajes: 18
|
ok, entonces borrar la cabecera pe es poner los bytes a 0 no, es como me lo explicaban en este post, por eso lo que yo quiero es saber la diferencia entre hacerlo con un codigo automaticamente, o usando un programa como este mira, ves que te da esas opciones................. pero solo digo de la pe header  |
|
|
|
« Última modificación: 15 Enero 2008, 20:13 pm por CCA »
|
En línea
|
|
|
|
Shaddy
Desconectado
Mensajes: 722
one_bit_manipulator()
|
no se exactamente lo que hace pero subemelo y lo traceare para decirte pero imagino que no la borrará completamente porque si no no funcionaría, imagino que lo que hará será sustituirla por otra nueva. no lo se realmente, si me lo pasas lo miro.
Salu2..
P.D: a ver si me arreglan el pc que en casa me a petao la placa.
|
|
|
|
|
En línea
|
|
|
|
byebye
Desconectado
Mensajes: 5.093
|
100% que hace eso que dices, logicamente un PE no puede funcionar sin cabecera.
y para CCA, enterate mejor que es lo que necesitas hacer pq en otro post se entendia que lo querias hacer sobre un proceso, pero ese programa lo hace sobre un archivo.
|
|
|
|
|
En línea
|
|
|
|
CCA
Desconectado
Mensajes: 18
|
en este link te he subido el yoda crypter y el yoda protector, los dos los uso para mis archivos pero no se bien todas las funciones.... http://rapidshare.com/files/84332849/toolz.rar.htmlel programa borra la cabecera PE, pero en el codigo que te he mostrado dice que pone los bytes a 0 supongo que es lo mismo, pero suena distinto igual..... pero la finalidad de ese codigo es que cuando la dll se ha inyectado (ya inyectada en el proceso), justo en ese momento se borra la PE header de la dll y eso segun lo que tengo entendido la hace indetectable entre otras cosas............. pero entonces supongo que borrando la PE header con este programa no serviria ya que si inyecto la dll sin pe header no va a andar pero ahora voy a hacer las pruebas, igualmente tengo mis dudas.. el codigo del que hablo es en este post http://foro.elhacker.net/index.php/topic,194597.0.html saludetes |
|
|
|
|
En línea
|
|
|
|
CCA
Desconectado
Mensajes: 18
|
al final en que ha quedado este tema, yo se qe hay partes importantes de la cabesa PE desp de que la dll se haya cargado, como la IAT y la EAT no entonces quisiera estar seguro de lo que se puede borrar de la cabesa pe desp de que la dll se haya cargado, lo mismo de quitar la ccabesa msdos
|
|
|
|
|
En línea
|
|
|
|
|
 |
