бинарник автоматически меняет байты в EP

При загрузке в ольку в EP я вижу

Код (Text):

1. 004013C9 > $- E9 99488B0B   JMP 0BCB5C67
2. 004013CE   .  FF15 74504000 CALL DWORD PTR DS:[<&MSVCRT.iswgraph>]   ; |\iswgraph
3. 004013D4   .  C70424 E80300>MOV DWORD PTR SS:[ESP],3E8               ; |

При чтении с диска, вижу :

Код (Text):

1. 004013C9: 55                       push ebp ; Program Entry Point
2. 004013CA: 8BEC                     mov ebp, esp
3. 004013CC: 6A00                     push 00000000h
4. 004013CE: FF1574504000             call [00405074h] ; MSVCRT.dll!iswgraph
5. 004013D4: C70424E8030000           mov [esp], 000003E8h
6. 004013DB: FF1574504000             call [00405074h] ; MSVCRT.dll!iswgraph
7. 004013E1: A174504000               mov eax, [405074h]

как ? Видать используются специальные фичи ПЕ формата чтобы системный загрузчик подменил эти байты ?

 

что именно тут необычного?

 

В ольке первая инструкция в точке входа JMP 0BCB5C67
хотя в образе на диске ( в файле ) в точке входа стандартный пролог
push ebp
mov ebp,esp
почему, и как в момент загрузки образа в адресное пространство процесса, система внедряет в точку входа JMP ....

 

Может там тлс колбэк есть, который это делает?

 

Как и где это посмотреть?
p.s аттачи не работают тут ?
Кстати эту фишку (с подменой байтов в ЕП) я встречал в зевсе, спайай и в этом бинарнике(тдл4)

 

Выложил : http://ifolder.ru/23348981 ( pass infected_wasm )
dll.exe - tdl4 dropper

 

стопудово подмена ЕР в .техт случай не заурядный, чё за прога?

 

Незнаю что за олька у вас, у меня 2.01 никакого джампа не показвает.

 

o_0 ollydbg 2

Код (Text):

1. CPU Disasm
2. Address   Hex dump          Command                                  Comments
3. 004013C9      E9            DB E9
4. 004013CA  /.  99            CDQ
5. 004013CB  |.  48            DEC EAX
6. 004013CC  |.  8B0B          MOV ECX,DWORD PTR DS:[EBX]
7. 004013CE  |.  FF15 74504000 CALL DWORD PTR DS:[<&MSVCRT.iswgraph>]   ; \MSVCRT.iswgraph
8. 004013D4  |.  C70424 E80300 MOV DWORD PTR SS:[ARG.RETADDR],3E8       ; /c => 03E8

Может быть, марварь какая нибудь сидит у меня ?

 

может это какой-нить недоантивирус повесил хуки в юзер-моде.

 

Исключено, на машине нет недоантивирусов
P.S. на второй машине так же, появляется JMP в точке входа.

 

WIN32
На всех программах или только на этой?

 

Только на этой, и пару раз встречалось в билдах спайай и зевса. Упаковщик один и тот же видать.

 

WIN32, проверьте загрузку сатически связанных длл (может есть навесная длл, которая патчит код ехе)

 

WIN32

А ты смотрел в Оле, что по адресу перехода находится ? Может какая-то dll, которая все эти делишки и проворачивает при DLL_PROCESS_ATTACH ?

 

Да конечно смотрел, вариант с дллкой которая в dwReason == DLL_P_A я уже рассмотрел, джамп указывает на тело самого файла

Memory map
Address Size Owner Section Contains Type Access Initial Mapped as
00400000 00001000 dll PE header Imag R RWE
00401000 00004000 dll .text code Imag R RWE
00405000 00001000 dll .rdata imports Imag R RWE
00406000 00001000 dll .crt Imag R RWE
00407000 00001000 dll .edata exports Imag R RWE
00408000 0000E000 dll .data data Imag R RWE
00416000 00011000 dll .rsrc resources Imag R RWE
00427000 00001000 dll .reloc relocations Imag R RWE
00430000 00101000 Map R R
00540000 000FA000 Map R R
01140000 003C3000 Map R R
0BC90000 0004D000 Priv RWE RWE

 

Похожая тема )
http://wasm.ru/forum/viewtopic.php?id=35803

 

ну может релоки портят

 

не совсем. Джамп указывает именно на функционал

 

Код (Text):

1. 0BC95C30  75 73 65 72 33 32 00 00 47 52 41 42 42 45 44 20  user32..GRABBED
2. 0BC95C40  44 41 54 41 00 00 00 00 25 73 25 73 25 73 00 00  DATA....%s%s%s..
3. 0BC95C50  45 4D 50 54 59 00 00 00 0A 0A 00 00 6F 70 65 72  EMPTY.......oper
4. 0BC95C60  61 00 00 00 53 6F 66 74 77 61 72 65 5C 4D 69 63  a...Software\Mic
5. 0BC95C70  72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20  rosoft\Internet
6. 0BC95C80  45 78 70 6C 6F 72 65 72 00 00 00 00 69 65 78 70  Explorer....iexp
7. 0BC95C90  6C 6F 72 65 00 00 00 00 63 00 68 00 72 00 6F 00  lore....c.h.r.o.
8. 0BC95CA0  6D 00 65 00 00 00 00 00 77 6C 63 6F 6D 6D 2E 65  m.e.....wlcomm.e
9. 0BC95CB0  78 65 00 00 6D 73 6D 73 67 73 2E 65 78 65 00 00  xe..msmsgs.exe..
10. 0BC95CC0  6D 73 6E 6D 73 67 72 2E 65 78 65 00 6E 73 70 72  msnmsgr.exe.nspr
11. 0BC95CD0  34 00 00 00 48 74 74 70 53 65 6E 64 52 65 71 75  4...HttpSendRequ
12. 0BC95CE0  65 73 74 41 00 00 00 00 48 74 74 70 53 65 6E 64  estA....HttpSend
13. 0BC95CF0  52 65 71 75 65 73 74 57 00 00 00 00 49 6E 74 65  RequestW....Inte
14. 0BC95D00  72 6E 65 74 57 72 69 74 65 46 69 6C 65 00 00 00  rnetWriteFile...
15. 0BC95D10  68 74 74 70 3A 2F 2F 00 68 74 74 70 73 3A 2F 2F  http://.https://
16. 0BC95D20  00 00 00 00 50 52 5F 57 72 69 74 65 00 00 00 00  ....PR_Write....

уж точно не хипс))