Menú Principal

Este sitio usa cookies y tecnologías similares.

Si no cambia la configuración de su navegador, usted acepta su uso. Saber más

Acepto

Zona descarga

Añadir imagen PeiD 0.95

Tamaño de letra:

Nuestro desempacado

Pues ahora queda lo más sencillo, añadir una imagen a nuestro PeiD ya desempacado. En los tres tutoriales anteriores vimos cómo desempacar PeiD 0.95 y corregimos un problema de verificación de integridad sencillo. Busca  la imagen que más te guste para personalizar el programa.

Visita el artículo que hice sobre editores de recursos en Windows y elige el que más te guste y se adapte a lo que vamos a hacer. Yo voy a elegir XN Resource Editor. Nota: Este es un caso en el que Resource Hacker no funciona.

Primer problema al usar el dumpeado

En el anterior artículo dejamos funcionando correctamente nuestro archivo desempacado dump_1.exe. Sin embargo, y esto es muy importante, no puedes modificar ese archivo con el editor de recursos porque ImportRE nos ha creado una sección justo después de la de recursos y si añades una imagen, la sección de recursos se agrandará de tamaño desplazando a ésta última y los datos de la tabla de importación no serán correctos y tendrás que hacer otra vez todo el trabajo de reconstruir la IAT y aunque funcionará, quedará muy chapucero. Para que entiendas esto que te acabo de decir, deberías intentar hacerlo y observar con un visor de PE el resultado. Vamos a hacerlo bien. Mira, para que lo veas más claro, si abro dump_1.exe con un visor de PE y veo las dos últimas secciones observo lo siguiente:

 Name     Virtual Offset     Virtual Size     Raw Offset     Raw Size     Flags
.rsrc       00099000           00001000        00099000      00001000    C0000040
.mackt      0009A000           00002000        0009A000      00002000    E0000060

La sección .mackt es la que nos ha creado ImportRE y la sección .rsrc es la que contiene los recursos. ¿Qué podemos hacer? Pues tiene muy fácil solución. Lo único que voy a hacer es desempacar otra ver PeiD 0.95 y hacer el volcado al archivo con el plugin OllyDump y no voy a hacer nada más. Si recuerdas, a este archivo lo llamé dump.exe. (relee si no los 3 artículos anteriores sobre cómo desempacar PeiD 0.95).

Insertando una imagen en dump.exe

Abro directamente dump.exe en XN Resource Editor y mirando la imagen que pongo a continuación hago lo siguiente:

Inserta imagen PeiD 0.95

  • Me dirijo a Dialog -> 101 -> Hago clic en la única opción que aparece (en mi caso pone Inglés). 1
  • Redimensiono la ventana de PeiD para que quepa una imagen. 2
  • Selecciono el control Picture, donde está el cursor en la imagen. 3
  • Pongo la imagen y se creará ese icono por defecto. 4

Si observas la imagen y las propiedades, verás que en tipo (type 5) aparece Bitmap. Por lo tanto, la imagen que vamos a insertar debe tener este formato. Busca ahora la imagen que tú quieras.

Mira la figura siguiente. Ahora simplemente pulsa con el botón derecho del ratón sobre la carpeta Bitmap de la izquierda 6 y selecciona Import Image Resource. 7

Importar imagen

Habrás creado un nuevo bitmap, que en mi caso tiene el ID 119 8 y verás también la imagen del mismo. 9

Ahora sólo queda volver de nuevo a Dialog -> 101 -> Inglés (o lo que te salga), como puedes ver la primera imagen de este tutorial y si te fijas debes modificar el valor de ImageID y poner 119. 5

Pues ya está todo, ahora vas a File -> Save as y lo guardas con el nombre que quieras. Yo lo he hecho como dump01.exe

Reconstruir la IAT e integridad

Lo que queda es muy fácil porque lo expliqué en los tutoriales anteriores. Simplemente queda reconstruir la IAT pero en vez de usar dump.exe debes usar dump01.exe y finalmente hacer la modificación para que no compruebe la integridad con el flag de la sección.

Ahora mismo estoy haciendo todo este procesos de reconstrucción para comprobar que funciona todo correctamente... un momento... ¡CORRECTO! Puedo asegurar que corre perfectamente. Os lo muestro:

Imagen en PeiD

Última actualización: Martes, 20 Diciembre 2011

Comentarios   

0 # Franco 23-07-2012 04:08
Hola! TM_Recargado, qué tal?
Me he visto en la obligación, a mi pesar, de eliminar el foro.
Uno de los motivos ha sido cumplir con la Ley española de Protección de datos de carácter personal.

En un tiempo, a determinados usuarios, los registraré manualmente.
Un saludooooo

Si, la verdad si, hay que cumplir cuanta norma le pongan a una web para no permitir que se cierre la misma...

Karmany!!! que tengo que hacer para ser un usuario al que registres manualmente... jaja, si puedo hacer algo claro esta... de igual modo no interesa tanto esta parte, igual seguire visitando la web!!! - Algo bueno no se olvida, y una ayuda nunca, te agradezco de nuevo la ayuda con el Peid, gracias...

Exitos Karmany, espero y esta web cresca aun mas... que la pases bien...
Responder | Responder con una citación | Citar
0 # karmany invitado 23-07-2012 14:07
Te invitaré, ya te avisaré cómo.
Gracias por tus comentarios.
Un saludo amigo.
Responder | Responder con una citación | Citar
0 # karmany 18-07-2012 21:28
Cito a Franco:
Y el foro, y las cuentas, Karmany!!! - Nooooooooo... :sigh:

Que buen tuto...

Saludos de parte de:
TM_Recargado :-*

Hola! TM_Recargado, qué tal?
Me he visto en la obligación, a mi pesar, de eliminar el foro.
Uno de los motivos ha sido cumplir con la Ley española de Protección de datos de carácter personal.

En un tiempo, a determinados usuarios, los registraré manualmente.
Un saludooooo
Responder | Responder con una citación | Citar
+1 # Franco 18-07-2012 20:55
Y el foro, y las cuentas, Karmany!!! - Nooooooooo... :sigh:

Que buen tuto...

Saludos de parte de:
TM_Recargado :-*
Responder | Responder con una citación | Citar

Escribir un comentario

Antes de publicar un comentario, usted debe aceptar nuestras condiciones de uso: Condiciones de uso


 
Visitas: 4529085