PDA

View Full Version : EXE Protection... How to



mehranFX
چهارشنبه 27 اردیبهشت 1385, 21:48 عصر
سلام و درود :
از اساتید گرامی ، مسلط به علوم عجیبه و غریبه خواهشمندم از راهنمایی پیرامون مسائل ذیل به نحوی که صلاح میدانند دریغ نفرمایید ، عنایت شما عزیزان موجب امتنان این حقیر است :
1- چهار کلام مختصر و مفید در مورد PE File Format توضیحات بفرمایید.
2- سناریوهای حفاظت از فایل اجرایی در مقابل جنایاتی چون Dumping, debuging and etc رو مختصرا تشریح کنید .
3- بارها و بارها در مقالات دیده ام که گفته بعد از از استفاده از Packer ها به شکل دستی الگوی فایل ایجاد شده رو طوری تغییر دهید که تشخیص ابزار استفاده شده تقریبا غیر ممکن گردد . حال چگونگی این تغییر مورد سئواله ...

Inprise
جمعه 29 اردیبهشت 1385, 18:37 عصر
re 1 : اینجا (http://www.barnamenevis.org/forum/showthread.php?t=18041&highlight=PE+format)

re 3 : با PE Editor های مختلف ؛ نرم افزارهائی هستند که Fake Signiture برای یک فایل اجرائی ایجاد میکنن یعنی تلاش میکنند محتویات قسمتهای خاصی از فایل رو دستکاری کنند تا نرم افزارهائی مانند PEiD و RDG Packer Detector که عامه افراد ازشون استفاده میکنن دچار خطا بشن . کافیه ببینی برای هر FakeSig کجاها دستکاری شده ، بسته به نوع و اندازه Instruction های موجود ، چیزهائی دیگری ( از یک Nop ساده میتونی شروع کنی ) استفاده کنی . تمام ابزارهائی که لازم هستند : یک PE Editor خوب - یک Hex editor خوب - یک FakeSigner و یک Binary Diff ( & مطالعهء جواب سوال اول و کمی تجربه اسمبلی )

پیشنهاد :
PE Editor : PE_Stud & PE Tools
Hex Editor : WinHex & FlexHex
FakeSigner
SABRE Binary Diff