Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de
 Autor
|
Tema: complemento para saltear offset malicisosos ... (Leído 2,527 veces)
|
perro_verde
 Desconectado
Mensajes: 28
|
este post esta hecho en referencia al post que publico "Badcode" hace un tiempo en: http://foro.elhacker.net/index.php/topic,38580.msg186312.html#msg186312Lo publico con otro titulo para separar un poco y agregar nuevas ideas y criticas. Espero que lo vean , lo prueben , si hay algo que no se entienda, o no guste avisen. A los moderadores si no les gustó espero que me avisen cuando lo saquen ... -------------------------------------------- Algo para tener en cuenta, a veces los AV detectan uno o varios byte para identificar virus, ese byte casi siempre es parte del codigo (o sea si se modifica , el ejecutable no anda). Progongo lo siguiente: Con un buen DEBUG convertimos el ejecutable a codigo ASM, y buscamos en que lugar cae ese byte feo. Seguro nos encontraremos con alguna orden como MOV AX, 0000. En ese lugar reemplazamos por JMP SALTO1, hacemos un salto a una zona donde haya ceros. En la posicion SALTO1 escribimos el comando anterior; MOV AX,0000 seguido ponemos otro salto para que vuelva al punto de donde saltamos JMP SALTO2. Con este truco cambiamos el byte pero no el codigo. En resumen para pasar un cable de una habitacion a la otra , en lugar de hacer un agujero, damos toda la vuelta y entramos por la ventana, y no rompemos nada. ej: //comienzo del codigo ... ... JMP SALTO1 //aca incertamos los byte, ojo no cualquiera SALTO2: // continua ejecutandoce el codigo. NOP NOP .... //salir SALTO1: MOV AX,0000h JMP SALTO2 .... el comando NOP no hace nada, conviene usarlo para rellenar byte, en hexa se escribe 90h. el JMP 401002h se escribe --> FF2502104000 hay que dar vuelta el offset. Buscar bien la zona de ceros, porque algunos lugares estan reservados y otros sobran. |
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 184
|
Ya te lo han dicho en el hilo de badcode que mencionas... Este método es clavadito (aunque muy simplificado) al "metodo RiT" que sale explicado con pelos y señales en el último numero de la revista PC Paso a Paso (aka Los Cuadernos de Hack X Crack). Forma parte de un artículo en el que se aplica el método de BadCode (han puesto incluso la referencia a su post) al Optix 1.32 para sacarle los offsets del Kaspersky y luego modificarlos de manera inocua con el RiT. Es un artículo extenso donde se dan respuestas a muchas preguntas que se han hecho en ese hilo. Por lo que he visto a más de uno le vendria bien leerlo... Se puede encontrar en los kioskos desde hace unas semanas, asi que lo que tu dices puede ser que se te haya ocurrido a ti solito y sea una coincidencia que haya salido esa revista justamente ahora... O puede que no... Salu2 PD: Ya que estoy les haré un poquillo de publicidad, que la revista en horas bajas xDDDD http://www.hackxcrack.com/index.phphttp://www.hackxcrack.com/ampliindexactual.htm(Muchos de aquí ya conoceis su foro, siempre ha habido muy buenas relaciones con este, precisamente en la editorial os agradecen algun favor y os mencionan varias veces a lo largo de la revista, espero que no os moleste esta pequeña cuña  ) |
|
|
|
« Última modificación: 21 Abril 2005, 03:35 por TaU »
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
perro_verde
Desconectado
Mensajes: 28
|
Lo que propuse lo saque de varios textos y lo publique aca sin costo alguno; seria interesante ver la nota publicada en la revista, pero de forma gratuita, algunos dicen que es lo mismo que esta en la revista, pero a la revista no la vi en ninguna pagina.
|
|
|
|
|
En línea
|
|
|
|
|
javipkt
|
Sí tienes razón es igual que en Hackxcrack pero simplificado. PAra hacer este metodo podeís utilizar el Code Relocator de Aphex, os cortará y pegara el código y pondra los saltos JMP el solito, solo indicandole la posición. www.iamaphex.net |
|
|
|
|
En línea
|
|
|
|
BloCKeadO
Desconectado
Mensajes: 2.250
Made in Spain.
|
Lo que propuse lo saque de varios textos y lo publique aca sin costo alguno; seria interesante ver la nota publicada en la revista, pero de forma gratuita, algunos dicen que es lo mismo que esta en la revista, pero a la revista no la vi en ninguna pagina.
En su web tienes algunos articulos "Gratis". La revista, no se de donde seras, en españa no es nada dificil encontrarla y tiene muy buen material. Mejor que el material de muchas revistas de informatica, por que no esta creada por testers de hardware o de software, sino por personas de la "scene".
|
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
Yo lo que no se es como se hace esto:
"el JMP 401002h se escribe --> FF2502104000 hay que dar vuelta el offset."
Segun pone ahi es comprensible, pero cuando pongo en el olly esa misma instruccion me da distinto codigo maquina.
Querria saber como transformar una instruccion "jmp x" a codigo maquina.
Aver si alguien me hecha una mano garcias.
|
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 184
|
Fiate del Olly.
Cuando lo editas en el Olly y luego lo ensamblas este lo suele poner el JMP como E9 + offset. Ademas diferencia entre Short JMP y Long JMP, ocupando el primero menos bytes que el segundo. De esto deduzco que lo que hace la instruccion E9 es desplazar a partir del offset actual un offset determinado, el que le indicas despues. Si éste es positivo ira hacia abajo, si es negativo hacia arriba.
Como te digo, fiate del Olly, tu metele el offset absoluto y el ya te lo adapta.
Para más detalles ver la revista mencionada, se explica este proceso paso a paso y con detalles usando el Olly.
Salu2
|
|
|
|
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
perro_verde
Desconectado
Mensajes: 28
|
Yo lo que no se es como se hace esto: el JMP 401002h se escribe --> FF2502104000 hay que dar vuelta el offset." cundo veas un offset escrito de esta forma (ej. 401000h) es porque se refiere al plano virtual; en el plano fisico seria 0h, por lo general. Entonces vos tenes varias formas de moverte con el JMP, tanto para el virtual como para el fisico. (el de forma fisica lo explica Tau). el comando JMP se puede escribir empezando por FF25h seguido del offset; si queres saltar al 401002h de forma directa ,entonces escribis FF25 seguido de 02104000; esto quedaria FF2502104000. Pasando el archivo por un desensamblador te tiene que dar ese comando , sino hubo un hexa mal escrito o estas mirando en otro offset. Otra forma es usar saltos de forma fisica, en donde te posicionas en un lugar y miras hacia donde queres saltar, (para arriba o para bajo), aca usas el E9h y tenes que medir distancias. Esto seria ej. estoy en la posicion 10 si quiero ir a la posicion 15 hago (15-10 = +5); si quiero ir a la pos 5 hago (5-10 = -5) ,Despues estos resultados los tenes que pasar a hexa. Pero aca dicen los chicos que exite una aplicacion que lo hace solo, yo todavia no lo vi pero lo voy a buscar. Por lo que veo esta interesante esa aplicacion porque hay que juntar coraje para abrir un troyano de 300k buscar offset y cambiarlos. (y que despues funcione). Tampoco es necesario complicarse mucho, yo vi que hay aplicaciones que buscan el AV de la maquina y lo cierra; de esa forma podes meter cualquier troyano y lo haces mas facil. Es otra opcion. Saludos.
|
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 184
|
Pero aca dicen los chicos que exite una aplicacion que lo hace solo, yo todavia no lo vi pero lo voy a buscar. No conoces el Olly Debugger??? jur... Pues cuando lo conozcas te va a enganchar... Es simplemente imprescindible: http://home.t-online.de/home/Ollydbg/el comando JMP se puede escribir empezando por FF25h seguido del offset La verdad es que no conocia esta manera de hardcodear los saltos, siempre lo habia hecho con el Olly... Es interesante, pero de todas formas creo que es mejor usar siempre que se pueda saltos relativos (y más aún si ya te los calcula el Olly), ya que asi no dependes del Image Base (el offset en memoria a partir del cual se mapea el ejecutable). Por lo que veo esta interesante esa aplicacion porque hay que juntar coraje para abrir un troyano de 300k buscar offset y cambiarlos. (y que despues funcione). En la revista se hace con el Optix 1.32 descomprimido, que ocupa nada menos que 800 kb!! xDDDD... y por lo que he podido comprobar funciona perfectamente... Tampoco es necesario complicarse mucho, yo vi que hay aplicaciones que buscan el AV de la maquina y lo cierra; de esa forma podes meter cualquier troyano y lo haces mas facil. Es otra opcion. Yo no creo que eso sea una opcion válida. No hay nada que cante más que que se te apague "misteriosamente" el antivirus cada poco rato... Salu2
|
|
|
|
« Última modificación: 26 Abril 2005, 21:15 por TaU »
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
Dagger
Desconectado
Mensajes: 8
|
Tengo una pregunta respecto al tema, con el Hex workshop, yo abro el archivo server.exe, y localizo los offsets para cambiar... Pero cuando abro el OllyDbg y le pongo a buscar la secuencia ASCII (por ejemplo 5045 = PE) No me lo encuentra de ninguna forma, no se si me explico bien, En el olly dbg, hay una parte donde sale el codigo hexadecimal al estilo del HexWorkshop pues alli me salen cosas bastante diferentes a las que salen en el Hexworkshop. Total, que si que encuentro los offsets detectados por el antivirus en el editor exadecimal, pero no se como actuar con el OllyDbg. Muchas gracias de antemano PD: esta misma tarde me paso a comprarme esa revista  |
|
|
|
« Última modificación: 28 Abril 2005, 18:39 por Dagger »
|
En línea
|
|
|
|
|
javipkt
|
Porque cuando estás buscando el offset lo estas buscando en memoria. Y tienes que buscarlo como está en el hd.
Dale con el boton secundario del ratón en cualquier instrucción de las que tengas en pantalla, y le das a --->View----->Executable File, y después ahi pulsas Ctrl+G y te irá directamente al offset que quieras, igual que en el Hex Workshop.
|
|
|
|
|
En línea
|
|
|
|
Dagger
Desconectado
Mensajes: 8
|
Muchas gracias Me compre la revista, hize todos los pasos, vamos, el codigo me quedo al 99,9% identico. El problema es que sigue detectandolo el KAV. Abri el troyano modificado con el editor hexadecimal y las firmas que me detectaba el antivirus siguen estando alli.... Esas firmas o offsets del editor hexadecimal, una vez puestos lo saltos dentro del codigo del server, deben ser modificadas?? Gracias de antemano. |
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 184
|
Abri el troyano modificado con el editor hexadecimal y las firmas que me detectaba el antivirus siguen estando alli Entonces es normal que te lo siga detectando el KAV, no? Lo que está claro es que te has liado en algun sitio, porque el metodo que te explican en la revista precisamente explica como conseguir cambiar esas firmas... Esas firmas o offsets del editor hexadecimal, una vez puestos lo saltos dentro del codigo del server, deben ser modificadas?? No le veo sentido a esa pregunta... O te explicas muy mal o vas muy perdido... Intenta decir lo mismo de otra manera, a ver si asi lo pillamos... Salu2
|
|
|
|
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
Dagger
Desconectado
Mensajes: 8
|
Mmmmm a ver:
Yo busco los offsets tal y como dice la revista, en la revista, me parece que no dice que esos offsets deban ser modificados, si lo dice hacedmelo saber porque no se en que momento me lo he saltado...
La segunda pregunta era:
Una vez yo modifico el codigo del programa con el Olly (osea, meto los JMP) ¿Debo hacer algo con los offsets? (cambiarlos, dejarlos tal cual estaban o...)
Muchas gracias
|
|
|
|
|
En línea
|
|
|
|
piperrak
Desconectado
Mensajes: 277
¡Amo YaBB SE!
|
Alguien tiene la revista y me puede pasar ese metodo, por favor? (Escanear las paginas de la revista o asi)
|
|
|
|
|
En línea
|
|
|
|
|
 |
