![[HaBo]](/styles/default/logoklein.png){kind=small}
Falls es jemanden interessiert - ein MEW 11 SE Unpacker samt Source (MASM).
OS: sollte ab NT laufen, nicht auf WinDOSe (9.x) getestet.
Dagegen auf win 2000/XP (beide SPacks) und mit unterschiedlichen Executables (VB/Delphi5-7/MS VC++6-7,lcc32,Borland C++ irgendwas).
Zweck war eigentlich "learning purposes"
. Die Lernquellen sind eigentlich im "About" erwähnt.
Edit: für alle Freehack user (ja, ich hab den Thread gefunden ) die dank der geballten Heuristik-Power von VT&Co meinen, das File wäre verseucht:
OS: sollte ab NT laufen, nicht auf WinDOSe (9.x) getestet.
Dagegen auf win 2000/XP (beide SPacks) und mit unterschiedlichen Executables (VB/Delphi5-7/MS VC++6-7,lcc32,Borland C++ irgendwas).
Zweck war eigentlich "learning purposes"
. Die Lernquellen sind eigentlich im "About" erwähnt.Edit: für alle Freehack user (ja, ich hab den Thread gefunden
) die dank der geballten Heuristik-Power von VT&Co meinen, das File wäre verseucht:1)Der SOURCE liegt bei. Masm32 herunterladen, Pfad in der make.bat anpassen und selber assemblieren. 
2) Funktionsweise eines Unpackers:
http://wiki.hackerboard.de/index.php/Unpacker#Funktionsweise_eines_Unpackers
WinAPI:
http://de.wikipedia.org/wiki/Win32#Win32
Das ist ein "Runtime" Unpacker. D.h er startet die Anwendung, lässt die MEW-Stub den Code entpacken, korrigiert das Ergebis und speichert es.
Dafür nutzt er folgende WinAPI Aufrufe:
Erstelle Datei:CreateFile
Starte Anwendung:CreateProcess
lese/manipuliere Register der Anwendung: SetThreadContext,GetThreadContext
lese/schreibe Speicher der Zielanwendung:
ReadProcessMemory, WriteProcessMemory
Das sind auch zufällig die APIs, die öfters von Malware genutzt werden (wenn auch zu anderen Zwecken) und daher liegt es nunmal nicht so fern, dass AV-Heurisik "allergisch" auf diese APIs reagiert
2) Funktionsweise eines Unpackers:
http://wiki.hackerboard.de/index.php/Unpacker#Funktionsweise_eines_Unpackers
WinAPI:
http://de.wikipedia.org/wiki/Win32#Win32
Das ist ein "Runtime" Unpacker. D.h er startet die Anwendung, lässt die MEW-Stub den Code entpacken, korrigiert das Ergebis und speichert es.
Dafür nutzt er folgende WinAPI Aufrufe:
Erstelle Datei:CreateFile
Starte Anwendung:CreateProcess
lese/manipuliere Register der Anwendung: SetThreadContext,GetThreadContext
lese/schreibe Speicher der Zielanwendung:
ReadProcessMemory, WriteProcessMemory
Das sind auch zufällig die APIs, die öfters von Malware genutzt werden (wenn auch zu anderen Zwecken) und daher liegt es nunmal nicht so fern, dass AV-Heurisik "allergisch" auf diese APIs reagiert