elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Offsets inservibles?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Offsets inservibles?  (Leído 3,399 veces)
fary
Moderador
***
Desconectado Desconectado

Mensajes: 820

FASM / OllyDbg


Ver Perfil WWW
Offsets inservibles?
« en: 27 Abril 2010, 22:02 »

Hola buenas, querria saber si alguien tiene un tutorial sobre como  saber que offsets son vitales para el programa cuales no y como modificar offsets... si alguien tiene algo de informacion es de agradecer.

salu2!
En línea

Un byte a la izquierda.
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Offsets inservibles?
« Respuesta #1 en: 27 Abril 2010, 22:07 »

Buscate documentacion sobre el formato PE si hablas de windows, una vez sepas como el formato de un ejecutable sabras que se puede tocar y como tocarlo.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: Offsets inservibles?
« Respuesta #2 en: 27 Abril 2010, 22:13 »

Primero sabes lo que es un Offset? Explica mejor que quieres hacer :P

Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html
:rolleyes:
En línea

[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Offsets inservibles?
« Respuesta #3 en: 27 Abril 2010, 22:15 »

Ademas de lo que comenta ctlon necesitas saber un poco de ASM, ya que al indetectar lo que haces es cambiar una rutina por otra que realice la misma funcion... todos los offset son importantes.
En línea

fary
Moderador
***
Desconectado Desconectado

Mensajes: 820

FASM / OllyDbg


Ver Perfil WWW
Re: Offsets inservibles?
« Respuesta #4 en: 27 Abril 2010, 23:14 »

Primero sabes lo que es un Offset? Explica mejor que quieres hacer :P

Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html
:rolleyes:

jajaja, claro, quiero estudiar aprender como hacer esa tecnica ;)

de momento voy a mirar lo que dijo ctlon si alguien sabe que mas tengo que leer para aprender eos qeulo diga.


PD: tambien lo quiero hacer en VB

salu2!
En línea

Un byte a la izquierda.
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Offsets inservibles?
« Respuesta #5 en: 27 Abril 2010, 23:18 »

Primero sabes lo que es un Offset? Explica mejor que quieres hacer :P

Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html
:rolleyes:

jajaja, claro, quiero estudiar aprender como hacer esa tecnica ;)

de momento voy a mirar lo que dijo ctlon si alguien sabe que mas tengo que leer para aprender eos qeulo diga.


PD: tambien lo quiero hacer en VB

salu2!

ASM
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: Offsets inservibles?
« Respuesta #6 en: 28 Abril 2010, 11:44 »

ASM
No es necesario ASM para desarrollar una tecnica tan simple ;)

El Cactus Metamorph simplemente modifica los 00s del programa... es decir... que los bloques con 00s se rellenan con basura ;)
En línea

[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Offsets inservibles?
« Respuesta #7 en: 28 Abril 2010, 13:48 »

ASM
No es necesario ASM para desarrollar una tecnica tan simple ;)

El Cactus Metamorph simplemente modifica los 00s del programa... es decir... que los bloques con 00s se rellenan con basura ;)
:¬¬ El Mod debe motivar a que aprendan... dejalo que aprenda ASM para que sea un zombie como nosotros:xD
En línea

fary
Moderador
***
Desconectado Desconectado

Mensajes: 820

FASM / OllyDbg


Ver Perfil WWW
Re: Offsets inservibles?
« Respuesta #8 en: 28 Abril 2010, 15:22 »

de momento quiero seguir con vb y me  voy ametiendo poco a poco con c...ya llegara el dia en que aprendere asm, por aora creo que seguire con vb y aprendiendo c.

salu2!
En línea

Un byte a la izquierda.
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.081


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Offsets inservibles?
« Respuesta #9 en: 28 Abril 2010, 15:25 »

Claro, deberías aprender ASM. Puedes modificar algunos offsets "a lo bruto", como los 0's de la sección .data o datos del resource, pero es que en esos offsets que te puedes cargar sin que afecte al exe los AV raramente pondrán una firma. El asunto está en la estructura del PE, la sección de código y la IAT, eso es lo que tienes que cambiar para despistar a los AV, y para eso lo mejor es utilizar un debuger (yo en el virus metamorph había utilizado un debuger de consola que desensamblara el exe) para obtener el correspondiente código en asm y a partir de ahí cambiar esas instrucciones por unas diferentes pero equivalentes  :P.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
USBs inservibles
Hardware
ivangijon 3 270 Último mensaje 7 Octubre 2017, 16:05
por PalitroqueZ
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines