Hola gente, recien me dio por seguir el excelente tuto de modding que hace unos años nos hizo el amigo Rudeboy1991 y tengo unas dudas puntuales en cuanto a sacar el stub del encriptado quizas es que no estoy comprendiendo bien el concepto o hay algunas cosas que antes deba saber que aun no y debo admitir ya ando llegando al punto de frustracíon jaja

Pasa que Rudeboy lo explica encriptando un notepad.exe, luego de ello indica que para conseguir dejar el stub solo, debemos conseguir el delimitador y este el lo indica como el tamaño final de un Stub.exe que ya tenía fuera del cripter que esta modeando en el video.. La pregunta es:

Si yo para comenzar con otro cripter encripto un notepad.exe tambíen y luego de eso quiero saber cual es el delimitador entre el stub y el archivo que encripté como lo sabré si no poseo nada aun para guiarme como el lo hace en el video si me explico ? es decir no tengo aun un "Stub.exe" que me indique su tamaño final para colocarlo de referencia en el editor hexadecimal.. Esa es mi duda

Bueno trate de ser claro en cuanto a la duda que tengo espero puedan responderme he intentado ver otros videos de modding pero no he conseguido un material donde expliquen esto, Agradezco cualquier orientacíon que puedan darme aunque se la actividad aca en el foro ha estado un poco decaida en comparacíon con tiempos anteriores.

Un saludo a todos !
Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores. (Kevin Mitnik)
Prueba a extraer el stub son resource hacker directamente y te ahorras eso que es mas lioso
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
La solución está en la cabecera. Puedes abrir el archivo con CFF Explorer y mirar el valor de SizeOfImage (Optional Header) y pasar el valor a decimal. Luego abres el archivo con algún editor hexadecimal (HxD por ejemplo es muy bueno) y vas a la posición del valor de SizeOfImage y borras a partir de ahí.
Este método sólo sirve para crypters que almacenan el archivo en el EOF (end of file). El valor de la cabecera OptionalHeader.SizeOfImage es el valor original del archivo, ya que al añadir bytes al final del archivo no se cambia este valor, por eso, se podría calcular el tamaño original del archivo haciendo simplemente tamaño original del archivo - OptionalHeader.SizeOfImage = tamaño del EOF.
Blau escribió:La solución está en la cabecera. Puedes abrir el archivo con CFF Explorer y mirar el valor de SizeOfImage (Optional Header) y pasar el valor a decimal. Luego abres el archivo con algún editor hexadecimal (HxD por ejemplo es muy bueno) y vas a la posición del valor de SizeOfImage y borras a partir de ahí.
Este método sólo sirve para crypters que almacenan el archivo en el EOF (end of file). El valor de la cabecera OptionalHeader.SizeOfImage es el valor original del archivo, ya que al añadir bytes al final del archivo no se cambia este valor, por eso, se podría calcular el tamaño original del archivo haciendo simplemente tamaño original del archivo - OptionalHeader.SizeOfImage = tamaño del EOF.
Gracias por la respuesta elaborada Blau voy a intentar esto que comentas y ya les contaré como me va.
SadFud escribió:Prueba a extraer el stub son resource hacker directamente y te ahorras eso que es mas lioso
SadFud yo intenté abrir el encriptado con el Reshacker sin embargo solo conseguí ver el "Version info" o es que debo habilitar alguna otra opcion en el Reshacker para ver el Stub

De todas maneras gracias a ambos por las respuestas seguiré indagando y probando
Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores. (Kevin Mitnik)
Dr__Nesto escribió:
Blau escribió:La solución está en la cabecera. Puedes abrir el archivo con CFF Explorer y mirar el valor de SizeOfImage (Optional Header) y pasar el valor a decimal. Luego abres el archivo con algún editor hexadecimal (HxD por ejemplo es muy bueno) y vas a la posición del valor de SizeOfImage y borras a partir de ahí.
Este método sólo sirve para crypters que almacenan el archivo en el EOF (end of file). El valor de la cabecera OptionalHeader.SizeOfImage es el valor original del archivo, ya que al añadir bytes al final del archivo no se cambia este valor, por eso, se podría calcular el tamaño original del archivo haciendo simplemente tamaño original del archivo - OptionalHeader.SizeOfImage = tamaño del EOF.
Gracias por la respuesta elaborada Blau voy a intentar esto que comentas y ya les contaré como me va.
SadFud escribió:Prueba a extraer el stub son resource hacker directamente y te ahorras eso que es mas lioso
SadFud yo intenté abrir el encriptado con el Reshacker sin embargo solo conseguí ver el "Version info" o es que debo habilitar alguna otra opcion en el Reshacker para ver el Stub

De todas maneras gracias a ambos por las respuestas seguiré indagando y probando
Lo que tienes que abrir con el resource hacker para extraer el stub es el crypter, no el encriptado
Saludos
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
SadFud escribió:Lo que tienes que abrir con el resource hacker para extraer el stub es el crypter, no el encriptado
Saludos
Gracias Sad interesante aclaratoria, todo mas claro ahora en conjunto con a sugerencia de Blau
Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores. (Kevin Mitnik)
Prueba haciendo un "compare" desde hexworkshop entre el stub y el notepad encryptado y te mostrara exactamente donde esta...
Luchare Por Ser Inmortal, Aunque Muera En El Intento...
  • Skype guru1990_
Responder

Volver a “Dudas y Preguntas”