Binder - Prinzip

[erchologie]

Hi Leute,

ich würde gerne das Prinzip hinter dem programmieren eines Binder wissen.
Ich habe ein Video auf Youtube gefunden, was nur zeigt,
wie ein richtig krasser h4xx0r mit geiler Hintergrundmusik einen VB Code abtippt, der in gewissen Foren kursiert.

Ich habe wirklich lange gegooglet aber keine plausible Anleitung gefunden.

Kann mir jemand in vielleicht 5 Sätzen erklären,
was ein Binder genau macht?

"Ein Stub an den anderen hängen" kenne ich auch schon.
Aber den einzigen "Stub" den ich aus papers über das PE Format kenne
ist der DOS Stub.

 

[CDW]

Mit 99% Sicherheit sind sind das die krassen RunPE Codes, die von VB6-lern erfunden und von Tan Chew Keong schamlos kopiert und unter eigenem Namen veröffentlicht wurden :
SIG^2 G-TEC - Dynamic Forking of Win32 EXE
Also prinzipiell einen "Bug"/Feature des PE-Loaderes ausnutzen, bei dem man ein Prozess starten und dann zwischendurch einen anderen Inhalt in dessen Speicher schieben kann. So dass man mit relativ wenigen Schritten alle PE-Loaderschritte ausführen und eine Executable "im Speicher" starten kann.

Die Stub ist dann eine Exe (ein "Template"), die Parameter/Anhänge/Einstellungen "lesen" und starten kann und der Binder eine GUI, die dem angehenden Hack0r erlaubt, 2 oder mehr Exen, die miteinander verbunden werden sollen, auszuwählen. Diese werden dann an das Template angehangen (oder als Ressourcen eingefügt).

Dank "RunPE" geht die Ausführung komplett im RAM - der einfachste Ansatz wäre allerdings ein "Dropper" (also den Anhang auf die Platte zu schreiben und über CreateProcess/ShellExecute/WinExec auszuführen).

Einen Ansatz, bei dem die angehängte Executable tatsächlich durch nachgebildete PE-Loader-Schritte gestartet wird, darfst Du bei "Szenetoolz" lange suchen (das dürfte eher bei Softwareprotectoren zu finden sein).

 

[enkore]

Jemand hatte hier auch mal seinen eigenen kleinen PE-Loader (in Delphi?) gepostet…

 

[CDW]

Es dürfte noch mehr davon geben (z.B UPX) - das Hauptproblem ist eben, dass man bei vollständiger "Nachbildung" auch die ganzen Variationen (TLS, Relocations, Importvariationen, Ressourcenhandling usw.) nachbilden muss und damit sind mehr oder weniger "vollständige" Loader eher selten (z.B UPX hat erst seit relativ kurzem TLS Unterstützung).