Tema destacado:  Suscripción al boletín mensual de elhacker.net
 Autor
|
Tema: Offsets inservibles? (Leído 1,730 veces)
|
mDrinky
 Desconectado
Mensajes: 277
Miauuuuuuuuuuuuu dice el gato XD
|
Hola buenas, querria saber si alguien tiene un tutorial sobre como saber que offsets son vitales para el programa cuales no y como modificar offsets... si alguien tiene algo de informacion es de agradecer.
salu2!
|
|
|
|
|
En línea
|
|
|
|
bizco
Desconectado
Mensajes: 698
|
Buscate documentacion sobre el formato PE si hablas de windows, una vez sepas como el formato de un ejecutable sabras que se puede tocar y como tocarlo.
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Primero sabes lo que es un Offset? Explica mejor que quieres hacer 
http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html  |
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Ademas de lo que comenta ctlon necesitas saber un poco de ASM, ya que al indetectar lo que haces es cambiar una rutina por otra que realice la misma funcion... todos los offset son importantes.
|
|
|
|
|
En línea
|
|
|
|
mDrinky
Desconectado
Mensajes: 277
Miauuuuuuuuuuuuu dice el gato XD
|
Primero sabes lo que es un Offset? Explica mejor que quieres hacer
http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html jajaja, claro, quiero estudiar aprender como hacer esa tecnica  de momento voy a mirar lo que dijo ctlon si alguien sabe que mas tengo que leer para aprender eos qeulo diga. PD: tambien lo quiero hacer en VB salu2!
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Primero sabes lo que es un Offset? Explica mejor que quieres hacer
http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html jajaja, claro, quiero estudiar aprender como hacer esa tecnica de momento voy a mirar lo que dijo ctlon si alguien sabe que mas tengo que leer para aprender eos qeulo diga. PD: tambien lo quiero hacer en VB salu2! ASM
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
ASM
No es necesario ASM para desarrollar una tecnica tan simple El Cactus Metamorph simplemente modifica los 00s del programa... es decir... que los bloques con 00s se rellenan con basura
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
ASM
No es necesario ASM para desarrollar una tecnica tan simple El Cactus Metamorph simplemente modifica los 00s del programa... es decir... que los bloques con 00s se rellenan con basura  El Mod debe motivar a que aprendan... dejalo que aprenda ASM para que sea un zombie como nosotros:xD
|
|
|
|
|
En línea
|
|
|
|
mDrinky
Desconectado
Mensajes: 277
Miauuuuuuuuuuuuu dice el gato XD
|
de momento quiero seguir con vb y me voy ametiendo poco a poco con c...ya llegara el dia en que aprendere asm, por aora creo que seguire con vb y aprendiendo c.
salu2!
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Claro, deberías aprender ASM. Puedes modificar algunos offsets "a lo bruto", como los 0's de la sección .data o datos del resource, pero es que en esos offsets que te puedes cargar sin que afecte al exe los AV raramente pondrán una firma. El asunto está en la estructura del PE, la sección de código y la IAT, eso es lo que tienes que cambiar para despistar a los AV, y para eso lo mejor es utilizar un debuger (yo en el virus metamorph había utilizado un debuger de consola que desensamblara el exe) para obtener el correspondiente código en asm y a partir de ahí cambiar esas instrucciones por unas diferentes pero equivalentes . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
mDrinky
Desconectado
Mensajes: 277
Miauuuuuuuuuuuuu dice el gato XD
|
Claro, deberías aprender ASM. Puedes modificar algunos offsets "a lo bruto", como los 0's de la sección .data o datos del resource, pero es que en esos offsets que te puedes cargar sin que afecte al exe los AV raramente pondrán una firma. El asunto está en la estructura del PE, la sección de código y la IAT, eso es lo que tienes que cambiar para despistar a los AV, y para eso lo mejor es utilizar un debuger (yo en el virus metamorph había utilizado un debuger de consola que desensamblara el exe) para obtener el correspondiente código en asm y a partir de ahí cambiar esas instrucciones por unas diferentes pero equivalentes . Saludos mmmm... :/ pues nad asimplemente creare ese metodo y mas adelante cuando aprenda c intentare haceer cosas mas avanzadas... el caso es aprender y no estar parado. salu2! y gracias a todos.
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Menuda tonteria, ahora para modificar binariamente un ejecutable (Modificar bytes, leer PE, etc...) hace falta usar ASM y C?  |
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Menuda tonteria, ahora para modificar binariamente un ejecutable (Modificar bytes, leer PE, etc...) hace falta usar ASM y C? Para modificarlo no, para modificarlo y quitarse los AV tampoco, pero para modificarlo, quitarse los AV y que el exe siga funcionando si . Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
Karcrack
|
Para modificarlo no, para modificarlo y quitarse los AV tampoco, pero para modificarlo, quitarse los AV y que el exe siga funcionando si . , tio, no digas tonterias si sabes lo que haces lo haces bien en cualquier lenguaje, si te apetece puedes hacerlo incluso en Perl o Python
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Jaja, es que no digo que haya que saber ASM para programar en ASM la tool, digo que hay que saber ASM para saber QUÉ es lo que se modifica en un EXE. No es lo mismo modificar bytes que modificar instrucciones. Nosotros en el metamorph utilizamos un debuger para saber qué es lo que estamos modificando y no modificar bytes a ciegas.
Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
 |
