[C] RunPE

[Ekroz]

[gruik]

sauf erreur il en manque un bout là, au minimum un include et/ou un main, quelques explications -même succintes- peut-être aussi pour un sujet qui commence à devenir un peu touchy

[supersnail]

@Ekroz: sinon j'avais aussi écrit un tool qui permet de dump sans trop se casser la tête un RunPE (et qui fonctionne même avec un bin .NET, c'est d'ailleurs pour ça que j'ai codé ce truc :þ) dont la source est dispo ici (le machin est pas maintenu et le code est dégueulasse, mais y'a des tricks sympas dans le code).

Bref globalement mon tool injecte une DLL avant le chargement du processus, DLL qui va hooker WriteProcessMemory pour lui faire écrire le contenu de la zone mémoire dans un fichier (et ainsi récup les binaires sans se fatiguer).

Sinon gruik, les explications sont dans le "spoiler"

[Ekroz]

Je pouvais pas trop poster le reste du code, je sais pas ce que certains en auraient pu en faire, je peux toujours envoyer en MP si ça intéresse.
Sinon merci supersnail pour ta réponse, je regarderai ça d'un peu plus près ça ma l'air intéressant comme technique mais tu dis que le contenu de la zone mémoire est écrit dans un fichier ? Dans ce cas là ça laisse quelques traces sur le disque dur...

[supersnail]

Nan mon prog c'est justement pour dumper un RunPE sans se fatiguer à sortir OllyDBG (et ça permet d'extraire le malware packé avec un gain de temps non négligeable face à un "crypter" codé en .NET ou en AutoIT)

[Ekroz]

Oui la technique est relativement simple pour les RE, quand je vois certains softwares qui émulent leur code dans une VM je me dis que je peux aller me coucher, d'autant plus qu'il y a très peu de documentation à ce sujet, les anti-RE tricks sur le Net restent très basiques à moins de maîtriser parfaitement l'ASM, le format PE, la mémoire, les processus et la crypto...

[gruik]

Sinon gruik, les explications sont dans le "spoiler"

j'avais bien compris, mais tu dis ça parce-que tu connais déjà le principe et que les explications dans le spoiler te sont suffisantes

Je pouvais pas trop poster le reste du code, je sais pas ce que certains en auraient pu en faire

ben c'est tout le propos, à quoi (ou à qui) ça sert de poster ça ?

soit on considère que c'est un simili-tuto, et auquel cas il faut considérer également à qui on s'adresse, qui va le lire et qui ça va intéresser, auquel cas le but est de décortiquer le principe et le rendre facilement compréhensible, si on est déjà rodé à l'API win et qu'on a pas besoin de beaucoup d'explications, c'est probablement qu'on tourne autour d'un sujet qu'on connait déjà et de fait c'est plus tellement un tuto puisqu'on y apprend rien de plus qu'on savait pas déjà avant

soit on considère que ça n'a pas une vocation de tuto et qu'on se contente de livrer le code, auquel cas il faut quand même s'efforcer de livrer un code qui compile en l'état vous croyez pas ? c'est une des conditions qui fera que le post trouvera une utilité, intéressera un plus grand nombre de membres etc.
pour le reste on admet que si on fait des tutos sur comment pirater à l'aide de SQLi on peut bien donner le code d'un RunPE, sans parler du fait que ce qui est posté a une vocation pédagogique et qu'on ne saurait être tenus responsables de l'utilisation qui en est faite, un peu comme sur la plupart des forums...

bref no offense hein, évidement, mais je pense qu'au delà du sujet posté (plus ou moins intéressant par nature) il convient de s'interroger sur le public visé, sans quoi ben pour comprendre à quoi sert/comment fonctionne RunPE, autant que j'aille regarder ailleurs que sur npn, cqfd