[Anti-PE-Identification] DotNet-Undetector

[Mi4uric3]

Hola Elitepvpers-Com

 Spoiler

Diese kleine Anwendung modifiziert eure DotNet-Executables so, dass sie von den meisten (allen mir gestesteten) PE-Identifikatoren
wie & Co nicht mehr als "Microsoft Visual C# / Basic .NET" erkannt werden.
Das schützt zwar nicht vor Decompilern, aber viele User machen sich nicht die Mühe, zu versuchen, eine Executable mit einem DotNet-Decompiler zu dekompilieren, wenn diese nicht als DotNet-Executable erkannt wird.
Von daher dient es als winzig kleiner Schutz Das Passwort zum Entpacken ist so, wie mein Elitepvpers-Name.
Zu empfehlen ist dann natürlich, nicht das Standart-DotNet-Icon für die Executable zu nehmen ( bzw )

 Spoiler

This little application modifies your DotNet-Executable in a way, that PE-Identificators like & stuff don't recognise it as "Microsoft Visual C# / Basic .NET" anymore.
This doesn't protect the modified executable from being decompiled, but many users don't bother trying to decompile it, when the PE-Identificator doesn't say that it is a DotNet-Executable, so it is a little protection against lazybones The password for the archive is like my name in Elitepvpers.
I recommend not using the Standard-DotNet-Icon for the executable, so its less obvious ( / )

Virustotal.com-Report:

(4 / 40) Detections: "Gen:Variant.Strictor.2272" (?) & "W32/Obfuscated.H6!genr" (It isn't even obfuscated)

I guarantee that this executable is 100% free of malicious code!
This program was written in DotNet-Language, the patch was applied to it.
You can decompile it to check for malicious code, it isn't obfuscated.

[Whoknowsit]

Wenn es hält was es verspricht - Lob!

[-PinkiWinki-]

"An Error occured while Patching!"

Wenn ich es bei deinem Tool selbst anwende oder auch an einem von mir(mit .Net 4 erstellt).

[Mi4uric3]

Quote:

Originally Posted by -PinkiWinki-

"An Error occured while Patching!"

Wenn ich es bei deinem Tool selbst anwende oder auch an einem von mir(mit .Net 4 erstellt).

Bei meinem Tool ist es schon angewendet.
Lass mir das Programm welches du patchen wolltest (mit .Net Framework 4) bitte einmal zukommen, dann kann ich den Fehler untersuchen :)

[-PinkiWinki-]

Btw. RDG Packer Detector erkennt das es sich um ein .Net Programm handelt. Genauso wie Reflector & JustDecompile, macht also wenig sinn, glaube kaum das die meisten vorher mit PEiD oder sowas schauen eher öffnen sie direkt Reflector

Würde da eher gewisse fehlerhafte Werte in den Header hauen, dann spucken die meisten Decompiler schon einmal Fehlermeldungen aus.

[link]

Wahrscheinlich meckert VirusTotal wegen deines Trojaner-Icons...

Genau der EntryPoint ist nämlich der Punkt, der verweist auf den einzigen Import einer .NET Exe: _CorExeMain, dafür brauchst du nicht mal PEiD :P
Eben Imports in LordPE o.Ä. angucken und schon siehst du, ob's .NET ist oder nicht (Was natürlich nicht geht, wenn die .NET Exe z.B. mit einem Delphi Wrapper geschützt ist wie es bei .NET Reactor oder irgendeinem anderen .NET Protector war).

Deine .NET Exen-Erkennung lässt aber zu wünschen übrig und das VirtualOffset und das RawOffset auszulesen, um das FileOffset zu berechnen, hätte jetzt auch nicht viel länger gedauert.

Btw. lässt sich eine .NET Exe immer noch mit
"00 00 00 00 00 00 00 00 5F 43 6F 72 44 6C 6C 4D 61 69 6E 00 6D 73 63 6F 72 65 65 2E 64 6C 6C 00 00 ?? 00 00 FF 25"
erkennen, also kurz vor dem Entry Point.

[Mi4uric3]

OOooohkay also macht das Projekt wenig Sinn ^^
War auch nur ein 2 Minuten-Projekt, dann lass ich den Thread schließen.

Danke für die Hinweise!