Foro de elhacker.net

Se me pudieran facilitar un buen tutorial de la IAT, por favor o alguno de como funcionan los ejecutables, ya saben desde memoria y eso....


Verdad que no se le puede poner una nueva sección a un programa hecho en VB?

Gracias!!!

Si tienes instalado MSDN, busca el articulo: The Portable Executable File Format from Top to Bottom.

Ahi te explica el formato de los archivos PE. Tambien puedes consultar los tutes de Iczelion acerca del formato PE.

Y en VB si se pueden agregar secciones. Usa LordPE o cualquier otro editor PE que te permita hacerlo.

Saludos!

Eso es falso. Añade una nueva sección a un VB y después desde un editor de PE header modifica los siguientes valores:
Bound Import RVA y Bound Import size y los pones a cero. Y ya funcionará correctamente.

Buen dato ese Karmany, gracias  ;)

bueno, se pudieran pasar el Link del tuto pues que bueno seria...


Sobre las secciones, lo quise hacer a mano pero me pone error, pues a fuerzas tengo que mover o quitar la parte que dice MSVBVM60.DLL y se corrompe...


Ahora eh querido hacer mas grande la parte del codigo no me da!, le cambio el tamaño del codigo la direccion de los datos y de las otras secciones, y le cambio los datos de cada sección y el tamaño de la imagen y nada! que mas le puedo o debo cambiar?

gracias por responder !

Te doy un ejemplo con LordPE:

1) Abre el EXE con Lord PE.

2) Haz click en "Sections".

3) Aparecen las 2 ó 3 secciones (si tiene recursos) que crea VB por defecto (.text, .data y .rsrc).

4) Haz click con el botón derececho en el listado y selecciona "add section header"

5) Aparecerá una sección nueva: .NewSec.

6) Hazle click con el derecho y selecciona "edit section header"

7) Pon VirtualSize y RawSize en 1000. Dale a "OK" y luego cierra la ventana de secciones.

8) Haz click sobre "Directories" y pon los valores RVA y Size de "BoundImport" a cero. Haz click en "Save" y luego en "OK" (la ventana se cierra).

9) Haz click en "Save" y luego en OK.

10) Abre nuevamente el LordPE y haz click en "Rebuild PE". Selecciona el EXE que acabas de modificar y cuando termine dale a OK.

11) Listo!

Saludos!

esa es la forma sencilla... quisiera desde la raiz

en el siguiente enlace (en inglés), Especificación del formato Portable Executable
http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.docx  ::)

y en el siguiente, Taller de Formato PE by Ferchu
http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.html  :rolleyes:

suerte.

Bueno, la IAT y agregar secciones no tienen mucho que ver. Para agregar secciones ya te pasaron el tuto de Ferchu, no creo que tengas problema. Para la IAT te recomiendo los que muchas veces recomendó karmany, Import Tables Lento y a mano de Ricardo Narvaja, entras aquí (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/) y te bajas 253,254,255 y 256. A mi me fueron muy útiles, incluso explica como hacer un Loader que cargue la IAT  ;D.

Saludos

Pues gracias me ayudaron de verdad pero me quedo la espina de la nueva sección en vb, hice lo que  me sugirio MCKSys y nada!...una pregunta lo probaste?, pero de todos modos muchas gracias!

Si lo he probado y funciona. Aunque quizas tu quieras que el EP este es esa sección.

Puedes cambiarlo con el Lord PE

Saludos!