Páginas: [1] 
|
 |
|
 Autor
|
Tema: Problema en Olly (metodo rit) (Leído 1476 veces)
|
yakkuza
 Desconectado
Mensajes: 9
|
Buenas, tengo problemas.. xD
Comprendo perfectamente el metodo, y he echo pruebas con archivos haciendo saltos en la memoria y tal y todo perfect. Bueno con el archivo importante para el que quiero hacer el cambio, cuando selecciono el offset (dentro del olly) en el file No me permite View Image in Disambler (no sale para clikar), en otros offsets si que sale, pero en ese que tengo que cambiar no....
Que puedo hacer? otra forma de llevarlo a cpu?
Yo creo que el problema es porque esta bastante comprimido el exe? (igual es absurdo lo que he dicho , pero es la unica logica que le veo). Gracias.
|
|
|
|
|
En línea
|
|
|
|
yakkuza
Desconectado
Mensajes: 9
|
Bueno probando ahora creo que es ,porke en el breakpoint en el que actuo, todavía no se a llamado a dicha direccion de memoria ? tengo que investigar en que breakpoint se hace referencia para que pase a la cpu no? voy a probar....
|
|
|
|
|
En línea
|
|
|
|
yakkuza
Desconectado
Mensajes: 9
|
Bueno, veo que nadie me ha podido ayudar, pero con tiempo he descubierto el motivo "supuestamente". Con el fileanalizer me salio que la cabecera del archivo, terminaba en el offset 200 (hexadecimal) , y yo tome dicho valor en binario, cuando realmente el valor binario era 512. Tonces el problema que habiar venia en relacion aque , segun deduzco, el olly no permite modificar el archivo de cabecera, ya que coincide justo el rango de cuando permitir modificar, y yo lo que intentaba era usar el metodo rit, con parte de la cabezera.... Tonces ahora me pregunto... porke aisle 2 offsets , con firma de antivirus en la cabecera? supongo que me habria colado en algun lado xD.
|
|
|
|
|
En línea
|
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.682
|
Justamente lo q me pasa a mi xDD yo lo intente con el bifrost y solo me faltaban esos dos offset's q tu dices.
En mi caso el server estaba nuy comprimido, a ti te pasa lo mismo??
|
|
|
|
|
En línea
|
|
|
|
yakkuza
Desconectado
Mensajes: 9
|
sip. esta muy comprimido, con el poco peso del troyano era de esperar. El topo no me detecto ningun hueco libre en modo ejecutable xD. Ahora no puedo seguir probando, haber si el domingo me pongo y te comento, ya que tengo que iniciar de nuevo todo el proceso, por el problema ese que tube con la cabecera.
|
|
|
|
|
En línea
|
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.682
|
Si, si como yo . Tambien dos firmas en la cabecera, lo cual me desconcertó por q pensaba q ahi no se podia firmar, pero...
|
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 174
|
La cabecera PE normalmente no se comprime, asi que no creo que tenga nada que ver con eso.
El Bifrost y algún otro troyano cambian la parte de la cabecera correspondiente al DOS stub. Se trata de un mini ejecutable de 16bits que lo único que hace es sacar un mensaje que dice que ese programa no puede funcionar en modo DOS y que se añade al compilar el archivo para cumplir con el estandard PE. Si miráis esa zona en cualquier otro ejecutable con un editor HEX veréis la frase que os comento.
Como es algo que jamás se usa en entornos de 32 bits pues se convierte en espacio susceptible de ser usado para otras cosas. En el caso del Bifrost creo recordar se usaba para meter una firma de autoría del grupo que lo creó, y al hacerlo lo convirtieron en un lugar útil de donde sacar una firma Anti-Viral.
Digo útil porque con solo empezar a escanear el archivo enseguida se localiza la firma, es muy rapido. Pero también podría decir inútil precisamente por el gran talón de aquiles que es el método de firmas, ya que una vez que sabes lo que es y para que sirve esa zona es trivial modificarla. Como es una zona que no sirve para nada con que se cambie byte por cualquier otro ya se consigue que no sea detectado y que ese cambio no tenga efectos (visibles en situaciones normales) en la ejecución del PE.
Por cierto, se puede modificar la cabecera con el Olly sin ningún problema, de hecho tiene un visualizador de cabeceras PE incorporado:
1) Sacais el visor del ejecutable con: boton drcho> View> Executable File
2) En la ventana del ejecutable que acabáis de sacar os vais hasta los primeros bytes y alli boton drcho> special> PE header
3)Seleccionáis y moficiáis lo que querais con Binary> Edit.
Un saludo.
|
|
|
|
« Última modificación: 13 Enero 2007, 22:13 por TaU »
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.682
|
Pues no se, lo mirare mas detalladamente, pero si le cambio el bit por otro ualkiera no me arranka, me dice q no es una aplicaion balida...
|
|
|
|
|
En línea
|
|
|
|
yakkuza
Desconectado
Mensajes: 9
|
Esta tarde tendre acceso a mi pc, portanto podre ponerme denuevo al tema. COmo bien dice EON , al tocar cualquier byte de la cabezera, el archivo se corrompe, aunque habra que mirarlo de forma mas detallada, e intentar modificarla segun dice TaU.
|
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 174
|
Lo que yo digo es que se pueden tocar bytes del DOS stub de la cabaecera, solo del DOS stub (como en el caso bifrost), el resto de la cabecera es bastante mas delicado... Por ejemplo: +--------------+
|DOS MZ header |
+--------------+
|DOS stub |
+--------------+
|PE header |
+--------------+
|Section table |
+--------------+
|Section 1 |
+--------------+
|Section 2 |
+--------------+
|Section ... |
+--------------+
|Section n |
+--------------+  Aqui la parte inicial, del offset 0h al +-100h, a pesar de que la imagen lo englobe dentro del DOS stub realmente correspondería al DOS MZ Header, y la parte siguiente hasta el offset 200h es la que contiene la famosa frase y la que es susceptible de ser modificada sin problemas. Eliminar esa parte es precisamente lo que se hace para reducir el tamaño del PE al máximo. Echadle un vistazo al siguiente doc para saber lo que podeis y no podeis eliminar de la cabecera sin corromper el PE: http://www.phreedom.org/solar/code/tinype/Estoy seguro que a más de uno le interesará el regalito de la parte final de ese documento  Saludos. |
|
|
|
« Última modificación: 14 Enero 2007, 15:00 por TaU »
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
yakkuza
Desconectado
Mensajes: 9
|
Bueno, e cambiado a hacer indetectable el ivy.... pero o0. Sacos las firmas, hago los saltos... y al volver a analizar el archivo, me encuentra las firmas , en los nuevos offsets que puse :S. Alguien consiguio hacer el ivy indetected?
|
|
|
|
|
En línea
|
|
|
|
mojolloyo20
Desconectado
Mensajes: 160
en esta vida nunca te acostaras sin saber nada nue
|
hola a todos. por lo que ley teneis problemas con el metodo rit. bueno yo en mis comienzo un poco despues,en esta misma web,encontre un video tutorial. sobre el metodi rit y el troyano que usa es el bifrost. es un poco viejo el tutorial,en mis dias iba fenomenal. el unico av que daba porculo era el kav no me acuerdo que version,y con este metodo me lo pasaba por el forro bueno espero que os sirba por lo menos de guia. eso sip puede que os dejeis un poco los ojos,pero menos da una piedra o no? hay os dejo el video tutorial conpleto con los programas nesesarios. menos el troyano claro. el archivo txt,ya os lo dice. un salu2 y estaremos en contacto. descarga videotutorial: http://www.kizar.net/foro/index.php?topic=575.0 |
|
|
|
|
En línea
|
Lo reconozco
fumo porros a diario
me fumo uno y es como poner la radio
pero por dentro de mi amarga cabeza
siempre tan sola y tan llena de tristeza
Me salen la s canciones que a mí más me molan
las musiquillas que ha mí más me motivan
las amarguras se vuelven amapolas
y las tristezas me alegran la vida
Anda dame que fume
porque me siento sólo
dame de fumar
porque no quiero estar triste
|
|
|
kmilo_14
Desconectado
Mensajes: 2
|
Olas...yo tengo un problema menor con olly cuando hago metodo rit.Sucede que aislo la firma,el editor muestra 26b2-26d2,voy al olly y doy view executables , ctrl+g y 26b2 y no sale opcion dissambler,asi que en su lugar doy CPU Dump y en la pantalla que emerge puedo visualizar los MOV del tuto de octalh pero al inicio de la lista tengo 2 MOV mas que no se si son los de la firma,continuo con los de octalh y hago copy&paste a los nop del topo y el primer MOV cae en 1000701a.
Regreso y hago JMP en el primer MOV original( el que sale en el tuto de octalh) doy las ubicaciones y luego me voy a hacer el retorno a 1000701c y lo mando a la ubicacion del segundo MOV(el primero ya es JMP).
Hasta ahi creo que voy bien,(creo) luego intento guardar los cambios en el primer salto y manda una confirmacion,y voy al segundo salto y no tengo la opcion ALL MODIFICATION con lo que no me queda mas que dejar inconcluso.
Porfavor algo de ayuda soy novato en asm y lo del themida es una opcion que no considero para hacer mi server indetectable.
Tengo avast 4.8 e intento modificar el crypter del tuto de octalh.HEEELP!!!
|
|
|
|
|
En línea
|
|
|
|
|
Páginas: [1] 
|
|
|
 |
