Komischer Exit Code?

    Hi,
    Als ich mich heute wieder einmal an einem Laufzeitpacker versucht habe und mal was neues probiert habe (Ich will verhindern das die Datei in der reinform auf der Platte liegt da dann das decompilen genauso einfach wäre wie vorher.Deshalb hab ich mal versucht die Datei zu komprimieren,in eine TXT zu schreiben,sie dann zu dekomprimieren und sie dann im RAM auszuführen).Aber als ich mal den Code getestet habe kam ein "AutoIt funktioniert nicht mehr" Fenster und in der Konsole stand ein sonderbarer Fehlercode : >Exit code: -1073741819.Da ich die Idee einfach gut finde und ich die Idee nicht einfach so aufgeben will wollte ich mal fragen ob jmd in diesem Forum schonmal den Fehlercode gesehen hat oder sich denken kann was es ist.Hier ist der Code (Ich weiß nicht gerade allererste Sahne und auch nicht sehr ordentlich aber das ist ja auch nur der grobe Entwurf):
    (Link entfernt)


    Anfangs dachte ich das liegt daran das mein schrottiger Laptop das nicht auf die Reihe bekommt nicht auf die Reihe bekommt weshalb ich stattdessen testweise statt einer Kompression einfach "Gehexxt"(Ja ich weiß "Gehexxt" ist nicht richtig aber mir ist nichts besseres eingefallen) habe.Aber daran lag es nicht.


    PS:Funktioniert es bei euch?Ich benutze einen Laptop aus der Jungsteinzeit(Mein Handy hat mehr Prozessorkapazitäten als dieses Teil) mit Vista 32 Bit.Wahrscheinlich liegt es daran das der Arbeitsspeicher (Ich glaube das sind insgesamt 1,5 Gigabyte :D ) von diversen Sachen belegt ist.Es wäre nett wenn auch jemand anderes es testen könnte ,denn ich glaube wirklich es liegt an meinem PC.


    Schonmal danke für eure Antworten
    masterplc

    2 Mal editiert, zuletzt von masterplc (3. November 2013 um 21:15)

    howdy

    ich fass mal zusammen..

    du möchtest das wir ein unbekanntes programm direkt im arbeitsspeicher als eine bekannte systemdatei svchost.exe ausführen sollen?

    tut mir leid aber da musst du dir wen anderes blöden suchen

    mfg
    sgtigram

    Hi, den gleichen Fehler bekomme ich auch.
    Ich kann auf anhieb nicht sagen woran es liegt, aber ich habe so in der Art auch schonmal Fehlercodes.
    Bei mir werden diese immer entgegengeschmissen, wenn der Dll Call schief geht.

    Die DLL wird zwar aufgerufen, aber man übergibt halt falsche Werte was zu diesem Error Code führen kann.
    So hatte ich das jedenfalls immer bei solchen Error ausgaben beobachtet.

    LG. Make :)

    Dieser Dezimalwert ist auf Hex umgerechnet 0xC0000006 - The instruction at 0x%p referenced memory at 0x%p. The required data was not placed into memory because of an I/O error status of 0x%x.
    Ob das hilft?

    Danke für eure Antworten :)
    Mir ist aufgefallen das mir dieser Error bei jedem Script entgegengeballert wird,von einem Hotkey Scipt bis zu einem komplizierteren Script.Dies ist auf dem anderen PC nicht so weshalb ich vorerst den benutze.Ich gucke aber mal ob eine Neuinstallation es wieder richtet.


    Also.
    Ich fasse mal zusammen warum dein Post vollkommer Schmarn ist.
    1. Ein unbekanntes Programm?Komm schon.Die meisten Programme in AutoIt sind "unbekannt".
    2. Was ist an einer Ausführung im RAM verwerflich?
    3. Ja,der Prozessname ist nicht gut gewählt.(Es mag mal vorkommen das man vergisst den Wert eines Parameters zu ändern) Aber wie hätte ich es nennen sollen das moralisch empfindsame Menschen wie du das Programm nicht verdächtig finden?Ich habe eine Datei gebraucht die 100% auf jedem PC vorhanden ist damit das ganze läuft.Und da ich keine andere Möglichkeit sah ausser eine Systemdatei zu nutzen (da jede Programmdatei theoretisch nicht vorhanden sein könnte) dachte ich mir ich nutze mal die Svc und mache vorerst mir nicht die Mühe mir noch zusätzlich was aus dem Ärmel zu schütteln.
    4. Du glaubst also ernsthaft das ich in AutoIt einen Crypter für den ITW Gebrauch programmieren will?Ist das dein Ernst?Mein AV schlägt schon an wenn ich ein Makro kompilieren will.Ausserdem kann man in AutoIt keine Malware programmieren ohne das sie 37/37 auf jeglichen Onlinescannern kriegt und eine üble Dateigröße bekommt.
    5.Ich habe schon vor einiger Zeit einen Thread zu der Idee im Projekteforum gemacht.Denkst du ernsthaft das ich von so langer Hand geplant habe nur um hier fragen zu können?
    6.Die Grenzen zwischen Illegalen Cryptern und Programmen zum reinen Anwendungsschutz sind fließend.Legale Programme wie Themidia werden von Virenautoren aber auch von normalen Programmierern genutzt/missbraucht.Und illegale Crypter (Ich nenne keine Namen) könnten sowohl von Virenautoren als auch von normalos genutzt werden.Oder ein Beispiel aus dem RL:Du kannst ein Messer zum Schälen einer Kartoffel nutzen oder jemanden damit erstechen.Es liegt an demjenigen der das Messer (oder das Programm) in der Hand "hält".Tut mir Leid da musst du andere Argumente auffahren.
    7. Für den Fall das du glaubst ich will dir nen Virus anhängen:Das Programm ist keine EXE deshalb kann nichts drin sein.Oder siehst du da drin irgendetwas mit InetGet?

    Tut mir Leid ich habe dich vollkommen missverstanden!Ich dachte du meinst reguläres herunterladen und ausführen oder droppen auf der Festplatte :wacko:




    PS:Ich habe die Lösung...
    Ich Dummkopf hab ausversehen was am DLL Call beim LZNT Decompress geändert :/
    Jedenfalls danke für eure Hilfe!

    Einmal editiert, zuletzt von masterplc (2. November 2013 um 16:35)

    Zitat von masterplc

    Ich fasse mal zusammen warum dein Post vollkommer Schmarn ist.

    Gleichfalls.

    Zitat von masterplc

    1. Ein unbekanntes Programm? Komm schon.Die meisten Programme in AutoIt sind "unbekannt".

    Die meisten hier sind aber in der Lage AutoIt-Code zu lesen und zu analysieren, auf Shellcode (wieso nennst du das überhaupt so?) trifft das wahrscheinlich eher nicht zu.

    Zitat von masterplc

    6. Die Grenzen zwischen Illegalen Cryptern und Programmen zum reinen Anwendungsschutz sind fließend

    Dich hat hier auch niemand beschuldigt einen Crypter für Malware zu bauen.

    Zitat von masterplc

    7. Für den Fall das du glaubst ich will dir nen Virus anhängen: Das Programm ist keine EXE deshalb kann nichts drin sein. Oder siehst du da drin irgendetwas mit InetGet?

    Du führst Code direkt aus dem Arbeitsspeicher aus, das macht zum Ausführen einer EXE keinen großen Unterschied. Code ist Code. Wie schon in 1. gesagt wissen wir nicht was dein Code genau macht. Und was hat das mit InetGet zu tun?

    Mir sind ein Paar Sachen aufgefallen (Allerdings hat das nichts mit dem Fehlercode zu tun).
    Man kann Fehler verhindern indem man Fehlerverhindernd Programmiert.

    Dazu folgendes:
    1. Warum sind in einem Binärdatensatz alle 82 Zeichen Fragezeichen untergebracht ? Der Datensatz kann so nicht sinnvoll eingesetzt werden (Außer es ist eine Strukturmaßnahme, in dem Fall ist der gleichmäßige Abstand aber zu unwahrscheinlich um Zufällig zu sein, vllt eine Interleavingmethode ?)
    2. Warum steckt im Binärdatensatz ein weiterer Binärdatensatz ? Das raubt doch jegliche Übersicht und macht die Datei größer als benötigt :pinch:
    3. Warum wird sShellRead verwendet, wenn BinaryToString exakt die gleiche Funktion hat ? BuildIns sind immer Fehlertoleranter und schneller als Eigenkonstrukte.
    4. Warum braucht dein OPCode die Kernel32nt.dll ? (Was ist das überhaupt für ein Code der hier aufgetischt wird ?)

    Spoiler anzeigen
    [autoit]

    $Buffer = "0x" & "30783630453834453030303030303642303036353030373230303645303036353030364330303333?30303332303030303030364530303734303036343030364" & _
    "33030364330303030303030303030303030303030303030303030303030303030303030303030303?030303030303030303030303030303030303030303030303030303030303030303030" & _
    "30303030303030303030303030303030303030303030303030303030303030303542384246433641?343245384242303330303030384235343234323838393131384235343234324336413" & _
    "34545384141303330303030383931313641344145384131303330303030383933393641314536413?343453839443033303030303641323236384634303030303030453839313033303030" & _
    "30364132363641323445383838303330303030364132413641343045383746303330303030364132?453641304345383736303330303030364133323638433830303030303045383641303" & _
    "33030303036413241453835433033303030303842303943373031343430303030303036413132453?834443033303030303638354245383134434635314538373930333030303036413345" & _
    "45383342303330303030384244313641314545383332303330303030364134304646333246463331?464644303641313245383233303330303030363835424538313443463531453834463" & _
    "03330303030364131454538313130333030303038423039384235313343364133454538303530333?030303038423339303346413641323245384641303230303030384230393638463830" & _
    "30303030303537353146464430364130304538453830323030303036383838464542333136353145?383134303330303030364132454538443630323030303038423339364132414538434" & _
    "43032303030303842313136413432453843343032303030303537353236413030364130303641303?436413030364130303641303036413030464633314646443036413132453841393032" & _
    "30303030363844303337313046323531453844353032303030303641323245383937303230303030?384231313641324545383845303230303030384230394646373233344646333146464" & _
    "43036413030453837453032303030303638394339353141364535314538414130323030303036413?232453836433032303030303842313138423339364132454538363130323030303038" & _
    "42303936413430363830303330303030304646373235304646373733344646333146464430364133?364538343730323030303038424431364132324538334530323030303038423339364" & _
    "13345453833353032303030303842333136413232453832433032303030303842303136413245453?832333032303030303842303935324646373735343536464637303334464633313641" & _
    "30304538313030323030303036384131364133444438353145383343303230303030383343343043?464644303641313245384639303130303030363835424538313443463531453832353" & _
    "03230303030364132324538453730313030303038423131383343323036364133414538444230313?030303036413032353235314646443036413336453843453031303030304337303130" & _
    "30303030303030423832383030303030303641333645384243303130303030463732313641314545?384233303130303030384231313842353233433831433246383030303030303033443" & _
    "03641334545383946303130303030303331313641323645383936303130303030364132383532464?633313641313245383841303130303030363835424538313443463531453842363031" & _
    "30303030383343343043464644303641323645383733303130303030384233393842303938423731?313436413345453836353031303030303033333136413236453835433031303030303" & _
    "84230393842353130433641323245383530303130303030384230393033353133343641343645383?434303130303030384243313641324545383342303130303030384230393530464637" & _
    "37313035363532464633313641303045383241303130303030363841313641334444383531453835?363031303030303833433430434646443036413336453831333031303030303842313" & _
    "13833433230313839313136413341453830353031303030303842303933424341304638353333464?646464646364133324538463430303030303038423039433730313037303030313030" & _
    "36413030453845353030303030303638443243374137363835314538313130313030303036413332?453844333030303030303842313136413245453843413030303030303842303935324" & _
    "64637313034464644303641323245384242303030303030384233393833433733343641333245384?146303030303030384233313842423641343030303030303833433630383641324545" & _
    "38394430303030303038423131364134364538393430303030303035313641303435373536464633?323641303045383836303030303030363841313641334444383531453842323030303" & _
    "03030383343343043464644303641323245383646303030303030384230393842353132383033353?133343641333245383630303030303030384230393831433142303030303030303839" & _
    "31313641303045383446303030303030363844334337413745383531453837423030303030303641?333245383344303030303030384244313641324545383334303030303030384230394" & _
    "64633324646373130344646443036413030453832343030303030303638383833463441394535314?538353030303030303036413245453831323030303030303842303946463731303446" & _
    "46443036413441453830343030303030303842323136314333384243423033344332343034433336?413030453846324646464646463638353443414146393135314538314530303030303" & _
    "03641343036383030313030303030464637343234313836413030464644304646373432343134453?843464646464646463839303138334334313043334538323230303030303036384134" & _
    "34453045454335304538344230303030303038334334303846463734323430344646443046463734?323430383530453833383030303030303833433430384333353535323531353335363" & _
    "53733334330363438423730333038423736304338423736314338423645303838423745323038423?336333834373138373546333830334636423734303738303346344237343032454245" & _
    "37384243353546354535423539354135444333353535323531353335363537384236433234314338?354544373434333842343533433842353432383738303344353842344131383842354" & _
    "13230303344444533333034393842333438423033463533334646333343304643414338344330373?430374331434630443033463845424634334237433234323037354531384235413234" & _
    "30334444363638423043344238423541314330334444384230343842303343353546354535423539?35413544433343333030303030303030"

    [/autoit] [autoit][/autoit] [autoit]

    $Buffer = StringReplace($Buffer, '?', '')

    [/autoit] [autoit][/autoit] [autoit]

    FileWrite('Test.txt', BinaryToString(BinaryToString($Buffer)))
    ConsoleWrite(StringReplace(FileRead('Test.txt', 34), Chr(0), '') & @CRLF)

    [/autoit]


    lg
    M