elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Ayuda para entender este virus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda para entender este virus  (Leído 2,175 veces)
null2304

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Ayuda para entender este virus
« en: 12 Febrero 2011, 23:22 pm »

Bueno, he leído por toda la red y he revisado el foro.
Aún así no logro resolver mis dudas.
Verán, intento hacer un virus para archivos ELF, la idea es que no haga nada malo, simplemente se adhiera al final del host y deje un mensaje, un padding inocente
El asunto es que no hay encuentro documentación. En este foro alguien dejó hace un par de años un código que hace exactamente lo que deseo hacer (http://foro.elhacker.net/analisis_y_diseno_de_malware/virus_para_linux-t200087.0.html ), pero hay varias partes del mismo que no comprendo porque el autor no puso ni un comentario (al menos no en las partes "raras")
El problema es que el autor nunca volvió al foro y su mail ya ni existe. No comprendo lo que hizo.
Alguien me podría ayudar a explicar el funcionamiento del programa? o indicarme alguna guía que pueda guiarme para hacer exactamente un virus como ese?

Saludos y desde ya muchas gracias
« Última modificación: 12 Febrero 2011, 23:31 pm por null2304 » En línea

YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: Ayuda para entender este virus
« Respuesta #1 en: 13 Febrero 2011, 00:45 am »

Creo que esto te ayudara un poco

http://sourceforge.net/project/downloading.php?group_id=173983&filename=lscr-160307.tar.gz&a=60287788
En línea



Yo le enseñe a Kayser a usar objetos en ASM
null2304

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Ayuda para entender este virus
« Respuesta #2 en: 14 Febrero 2011, 08:42 am »

Perdón por no responder, creí que me llegaría un mail avisándome de las respuestas pero se ve que no.
Ahora leeré el archivo. Ya entendí casi todo el virus salvo un detalle. Leeré lo que me diste y cualquier cosa preguntaré

Saludos

Null
En línea

null2304

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Ayuda para entender este virus
« Respuesta #3 en: 15 Febrero 2011, 00:44 am »

Me qedan exactamente dos duas. La primera, no entiendo estas restas

Código:
mov eax, [ebp - 16]
sub eax, 0x2000000E
sub eax, [ebp - 24]
mov [ebp - 28], eax

caen por la linea 175 del código en la sección Unused_ph. Esperaba que reescriba la etiqueta Host por e entry point original pero la reemplaza por esa cuenta entry point original - 0x2000000E - tamaño del host en bytes
Si alguien lo entiende agradezco una indicación

Mi otra duda es más general. Si cambio o creo un program header table nuevo de p_type = 1 o sea de tipo LOAD. Como le digo al SO qué debe cargar allí. O sea, si creo un LOAD  nuevo, y mando al entry point a que apunte a una dirección que está ese nuevo segmento, carga el text segment ahí? (suponiendo que el espacio es suficiente)
Alguien sabe cómo funciona el asunto o dónde leer esos temas?

Saludos
« Última modificación: 15 Febrero 2011, 00:54 am por null2304 » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda para entender netbeans
Java
Electronik 3 5,056 Último mensaje 15 Octubre 2009, 00:01 am
por Electronik
ayuda con codigo para entender
Ingeniería Inversa
DragonsWP 1 1,772 Último mensaje 31 Diciembre 2009, 09:47 am
por MCKSys Argentina
Ayuda con GetPixel (Ingresa para entender)
.NET (C#, VB.NET, ASP)
GonzaFz 1 1,321 Último mensaje 25 Mayo 2012, 17:13 pm
por Maurice_Lupin
alguien me ayuda entender el C++??
Programación C/C++
holamega12 2 954 Último mensaje 30 Noviembre 2012, 18:43 pm
por rir3760
Ayuda a entender este código
Programación C/C++
Bastiannjs 1 984 Último mensaje 7 Septiembre 2017, 20:11 pm
por ivancea96
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines