elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware
| | |-+  Abril negro (Moderadores: Man-In-the-Middle, WHK, kub0x, fary)
| | | |-+  [RET Exe Corruption] Corrompe cualquier Ejecutable
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [RET Exe Corruption] Corrompe cualquier Ejecutable  (Leído 7,905 veces)
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
[RET Exe Corruption] Corrompe cualquier Ejecutable
« en: 7 Abril 2009, 19:00 pm »

Buenas tardes ;D

Hoy os presento este metodo de 'corrupcion' de ejecutables. Desde que vi el metodo que posteo Mad estuve pensando:
Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/metodo_ifeo_bug_image_file_execution_options-t249670.0.html

Este metodo modifica el ejecutable para que nada mas abrirse se cierre, agregando un RET al pimer byte ejecutado.

Que tiene de especial?
  • Solo modifica un Byte
  • Trabaja con el PE
Problemas? Solo uno:
  • Necesitas permisos de escritura en el fichero, si esta abierto no podras...

Pasos a seguir para aplicar este metodo:
  • Se obtiene el Entry Point RVA del fichero
  • Se pasa a RAW
  • Se reemplaza el primer BYTE por un RET (C3h)

Aqui teneis el codigo en VB:
Código:
http://foro.elhacker.net/programacion_vb/sourceret_exe_corruption_corrompe_cualquier_ejecutable-t251138.0.html;msg1211626#msg1211626


Saludos ;)


En línea

Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
« Respuesta #1 en: 7 Abril 2009, 19:45 pm »

jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan


En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
« Respuesta #2 en: 7 Abril 2009, 19:51 pm »

jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan
Cierto, para cargarselo con cambiar algunas valores que no hay que tocar sobra... se me olvido decir que:


Lo 'corrompe' sin mostrar ningun error

 :laugh: :laugh: :laugh:
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
« Respuesta #3 en: 7 Abril 2009, 19:58 pm »

Sirve igual si haces un #Put en el primer byte, que por norma es la letra "M" y listos. Todo fichero PE empieza con los carácteres "MZ" al inicio. Pero de igual forma buena tool

:)
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
« Respuesta #4 en: 7 Abril 2009, 20:06 pm »

Sirve igual si haces un #Put en el primer byte, que por norma es la letra "M" y listos. Todo fichero PE empieza con los carácteres "MZ" al inicio. Pero de igual forma buena tool

:)

El problema es que pierde el icono y sale esa fea pantalla negra :xD

Con este metodo no sale nada...
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
« Respuesta #5 en: 8 Abril 2009, 13:13 pm »

En realidad no lo corrompe, cambias el código pero el programa funciona, sólo que retorna al ser arrancado  :xD.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Generar ejecutable para que funcione en cualquier PC?
Programación Visual Basic
theluigy13etv 8 22,590 Último mensaje 21 Marzo 2012, 04:24 am
por theluigy13etv
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines