 Autor
|
Tema: Proyecto Metamorph (Leído 35,078 veces)
|
|
[Zero]
|
Actualicé el post con alguna información de la 2.0 y lo he ordenado un poco  . A ver si tenemos novedades pronto, sacaremos una beta de la gui en cuanto esté al 100% para asegurarnos de que funciona perfectamente  . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
n3fisto
 Desconectado
Mensajes: 155
|
Excelente che me gusta... servira de mucho
|
|
|
|
|
En línea
|
|
|
|
karmany
Desconectado
Mensajes: 1.212
|
Interesante proyecto.. Quiero comentar que cuando haces lo siguiente: ISH->SizeOfRawData=ISH->SizeOfRawData+0x200; No siempre el valor que hay que sumar es 200h bytes, esto depende del valor de file alignment. Tiene que ser: ISH->SizeOfRawData=ISH->SizeOfRawData+múltiplo de file alignment; La sección (intermedia) la puedes agrandar hasta un máximo del valor de Virtual size (ocupando la sección). La última sección puede tener un valor no múltiplo de file alignment y el programa funcionará correctamente. He visto que preguntabais por el valor de SizeofImage. Este valor es la suma de la memoria virtual y es importantísimo ponerlo bien porque si no no funcionará. Tiene que ser múltiplo de Section Alignment redondeando por arriba. Los valores de Virtual Address pueden no ser múltiplos de section alignment y normalmente indican dónde acaba realmente el código.(lo que ocupa). Todo esto lo comento porque yo he hecho una aplicación para añadir bytes en secciones y me encontré con estos problemas. Imagen:  |
|
|
|
|
En línea
|
 - "Tu sitio para aprender, enseñar y compartir" |
|
|
|
[Zero]
|
Gracias karmany, luego de mucho intentarlo y de preguntas al gran Shaddy (  ) ya no tengo problemas, la v2 ya tiene para añadir secciones, añadir espacio a cualquier sección y más cosas sobre el PE. Me despistaron dos cosas, por eso no lo conseguía, uno lo que tu dices, que si no es la última sección tienes de límite el VirtualSize, ya que si agrandas más, la diferencia no se mapea en memoria. Lo otro fue que los compiladores suelen redondear alto el tamaño en disco de las secciones y luego ponen el VirtualSize más ajustando, quedando más pequeño que el SizeOfRawData, y eso me despistó bastante, pero ya por fin lo comprendí  . Ahora lo que más me quema es la IAT, tengo un código a medias para moverla, cambiar el orden de las entradas y reconstruírla con loader y sin loader, pero a medias, aún no conseguí terminarlo . Saludos y gracias |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
karmany
Desconectado
Mensajes: 1.212
|
He echado un vistazo al código. Algunas secciones no se observa correctamente el nombre de la misma, esto es porque lo haces así: wsprintf(sName,"%s",ISH->Name); Para que los nombres se vean correctamente, es mejor no utilizar wsprintf, de este siguiente modo se verán correctos: lstrcpyn(&sName, LPCSTR(ISH->Name), 9); //el máximo son 8 caracteres. lo he hecho para VC. Creo que con las importaciones pasa algo parecido... Un saludo Edit... Parece una tontería pero queda mucho mejor que los valores hexadecimales estén con formato de 8 bytes, es decir, en vez de hacer así: wsprintf(sVOffset,"%X",ISH->VirtualAddress); hacerlo así: wsprintf(sVOffset,"%08X",ISH->VirtualAddress); |
|
|
|
« Última modificación: 30 Agosto 2009, 18:34 por karmany »
|
En línea
|
- "Tu sitio para aprender, enseñar y compartir" |
|
|
|
[Zero]
|
Gracias karmany, creo que ese era un error "escondido" que tenía y que no lograba ver, en la secciones nunca me pasó, pero en las imporaciones si, me ahorraste horas de desesperación . Seguiré tus consejos. Saludos y gracias una vez más  |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
tcjunior
Desconectado
Mensajes: 1
|
estoy cortandome las venas por algo asi!!!.... y para cuando estara ya disponible.... ando tratando de hace dias saber como cambiar la direccion iat la llamada a las api y no consigo tutorial alguno... |
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Todavia no hay una fecha establecida tcjunior... Mirate estos manuales para modificar la IAT manualemente: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/253-IMPORT%20TABLES%20A%20MANO%20(parte%201).rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/254-IMPORT%20TABLES%20A%20MANO%20(parte%202).rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/255-IMPORT%20TABLES%20A%20MANO%20(parte%203).rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/256-IMPORT%20TABLES%20A%20MANO%20(parte%204).rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1029-Importando%20funciones%20a%20mano_PARTE%20I_por%20Solid.rar
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1030-Importando%20funciones%20a%20mano_PARTE%20II_por%20Solid.rar Saludos  |
|
|
|
|
En línea
|
|
|
|
|
Dome-28
|
Que tal va el proyecto??, me parece muy interesante... y preguntaba por si sigue en marcha o se a parado una temporadilla, espero q no porq tiene una pinta de q va a ser una herramienta de las q a nadie le deberia faltar... Enorabuena por el trabajo, seguid asi  |
|
|
|
« Última modificación: 22 Octubre 2009, 01:14 por Dome-28 »
|
En línea
|
|
|
|
|
[Zero]
|
Pues actualmente está en pause porque Karcrack y yo estamos desarrollando el Stealth Rat que debería de estar para navidades, así que hasta terminarlo no seguiremos con el VM, aunque de un proyecto salen ideas para el otro como lo de la Relocation TAble . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
camaleon123
Desconectado
Mensajes: 19
|
Hola a todos soy nuevo en el foro, suena muy bueno el proyecto, pero realmente es otro nivel...
alguien me puede decir en que esta programado, o que necesito aprender para poder desarrollar algo asi?? Manejo C y Java pero nada parecido a este codigo, como le hago? que necesito investigar o q temas buscar? No creo que sea un simple #include studio.h y ya jaja
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.508
El Dictador y Verdugo de H-Sec
|
Hola a todos soy nuevo en el foro, suena muy bueno el proyecto, pero realmente es otro nivel...
alguien me puede decir en que esta programado, o que necesito aprender para poder desarrollar algo asi?? Manejo C y Java pero nada parecido a este codigo, como le hago? que necesito investigar o q temas buscar? No creo que sea un simple #include studio.h y ya jaja
el proyecto esta hecho en C.
|
|
|
|
|
En línea
|
|
|
|
Danni
Desconectado
Mensajes: 34
|
perdonen q haga esta pregunta pero que kieren hacer? mejor dicho, hai muchos tutoriales y guias para hacer un virus mutamorfico, q le van a agregar de "especial" a este  solo me interesa saber cual es el fin pq el sality es un virus polimorfico por ej pero sigue siendo una firma mas para los av's Lo del RAT me parece buenisimo pero el virus... |
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.508
El Dictador y Verdugo de H-Sec
|
perdonen q haga esta pregunta pero que kieren hacer? mejor dicho, hai muchos tutoriales y guias para hacer un virus mutamorfico, q le van a agregar de "especial" a este solo me interesa saber cual es el fin pq el sality es un virus polimorfico por ej pero sigue siendo una firma mas para los av's Lo del RAT me parece buenisimo pero el virus...  no es un virus... es una herramienta para indetectar aplicaciones. otra cosa, estas seguro que existe mucho material sobre Metamorfismo???
|
|
|
|
|
En línea
|
|
|
|
Danni
Desconectado
Mensajes: 34
|
si ¬¬ por lo menos en vx netlux & vx chaos hai manuales, tmb hai manuales x google pero ya de ahi nose q paginas son
ahora lo entendi mejor a eso, pero me parece mucho trabajo x lo q es, si hacen algo asi es mejor el polimorfismo pq el mutamorfico es mas facil de sacar la estructura, no x mi sino por los av's
|
|
|
|
« Última modificación: 30 Diciembre 2009, 17:59 por Danni »
|
En línea
|
|
|
|
|
 |
