Hola!

Estoy armando un programa que modifica la sección .text de un ejecutable..
Uso las estructuras:

PIMAGE_DOS_HEADER
PIMAGE_NT_HEADERS
PIMAGE_OPTIONAL_HEADER
PIMAGE_SECTION_HEADER

Por lo que entiendo si hago esto:

// Ajusto el punto de inicio a lo que necesito...
 
//IOH->AddressOfEntryPoint += 16;
IOH->AddressOfEntryPoint = IOH->BaseOfCode + 16;

Cualquiera de esas dos variantes deberían hacer lo mismo, verdad? Bueno, el problema es que en mi programa de pruebas funciona bien, pero en otros no funciona,, el entrypoint no cambia, y si cambia, lo hace mal..

La pregunta: ¿Puede verse afectado esto por algo asi como un relloc, o hay algo que no tengo en cuanta?

Gracias! Saludos!

Sip.. la gran mayoría de los codes son viejos..

Yo creo que han de ser un poco celosos con su código los programadores de virus, la verdad ni idea donde se puede encontrar eso.. yo busque hace un tiempo también y no encontré nada.. ojala alguien nos aclare eso

Saludos!

Ups.. es que por ahi me parecio leer polimorfico,, ya dejo el cel y voy a la pc..

Bueno, espero sirva el comentario (al menos de base para que otros expliquen mejor)

Podrías usar el polimorfismo para cifrar gran parte del programa, así nos quedaría solo mutar la rutina cifradora (como decía @Shout)

Creo que una forma sencilla para empezar seria usar basura aleatoria, (opcodes falsos) en diferentes partes del código, otra opción "simple" es usar jmps aleatorios también, claro que estos deben estar bien controlados (no sea cosa que el programa no retorne a donde debe)

Sobre reemplazar las instrucciones por otras.. esa es la que veo mas complicada, claro que hay diferentes formas de lograr lo mismo, pero igualmente son limitadas esas opciones (aunque combinando todas hay mas rango de mutaciones)

Bueno, en mi opinión.. yo empezaria por la basura y los jmps o calls (ahi tenes una mutacion  )

Suerte! Saludos!

Mmmm... la solucion esta en el cifrado, y usar diferentes claves en cada copia generada del malware.. Ahora estoy del cel y cuesta un poco extender el comentario.. pero creo que te haces una idea.. desde la pc pongo mas mañana..

Saludos!!

El sistema mesi hehehe
Epaa,, no pierden el dinero.. es una medida justa la que toman, pero sin ofender a nadie.. argentina la deuda que genero fue por mala politica (quizas en el pasado) y repito, sin ofender, mi pais tambien lo mismo.. siempre paga el pueblo..

Saludos!

No puede ser una perdida de tiempo ya que estas programando "por diversión", tampoco se pierde el tiempo si estas aprendiendo..

Ahora.. a lo que vamos.. no creo que sea perdida de tiempo, si esta bien echo es una técnica vigente, ya sabemos que el escaneo mas común y simple es el de firmas.. 

Saludos!

No es suficiente con 18 satélites?? Hasta con google maps uno se puede hacer una idea de edificaciones no declaradas.. 

Saint Google Maps dice que:


Mas 3 horas hasta colonia y 1 hora y media de barco 

Solo me faltaría motochorrear una anciana 

Creo que ahora que se de esto mejor me apunto para el año que viene jeje

Saludos! Gracias por la info!

Esa es la verdad @MacKinoon, casi el mundo entero lo sabe, (menos aquellos que se siguen nutriendo de la tele y la radio)..

A lo que voy, son impunes.. Algún día no muy lejano esto va a terminar mal.. China, Rusia y otros tantos países del mundo no se van a dejar pisotear..

Saludos!

Wow.. que caro es eso @MCKSys (en realidad, capaz que ni tanto si se pasa bien)

Exactamente donde va a ser eso? Suena interesante..

Saludos!

PD: Con el tema, no se quien es.. probablemente lo google ahora para saber