elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Pregunta trozo código ensamblador de malware		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Pregunta trozo código ensamblador de malware  (Leído 3,687 veces)
orApic

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Pregunta trozo código ensamblador de malware
« en: 19 Junio 2017, 17:04 pm »
Buenas,
 estoy analizando la función que instala un inline hook y me encontré con este trozo de código:

Código:
loc_10004599:           ; lpModuleName
push    0
call    ebx ; GetModuleHandleW
inc     esi
cmp     esi, 44h
jb      short loc_10004599

No parece hacer nada con el resultado por que hace un mov con destino eax.
¿Alguna idea de porqué hace esto?
En línea
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.517


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Pregunta trozo código ensamblador de malware
« Respuesta #1 en: 19 Junio 2017, 17:13 pm »
El retorno de la API está en eax. Quizás lo usa más adelante?

El código que has colocado es muy poco/corto. Es difícil saber lo que está pasando...  :P

Saludos!
En línea
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
orApic

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Pregunta trozo código ensamblador de malware
« Respuesta #2 en: 19 Junio 2017, 17:25 pm »
Justo después del jb hay un
Código:
mov     eax, edi
Por eso no sé muy bien para qué lo hace  :-\
En línea
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.517


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Pregunta trozo código ensamblador de malware
« Respuesta #3 en: 19 Junio 2017, 17:28 pm »
Cita de: orApic en 19 Junio 2017, 17:25 pm
Justo después del jb hay un
Código:
mov     eax, edi
Por eso no sé muy bien para qué lo hace  :-\

Si es así puede que sea ofuscación?

Saludos!
En línea
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
orApic

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Pregunta trozo código ensamblador de malware
« Respuesta #4 en: 19 Junio 2017, 17:32 pm »
Cita de: MCKSys Argentina en 19 Junio 2017, 17:28 pm
Si es así puede que sea ofuscación?

Saludos!
Podrías explicarte? No entiendo porqué sería ofuscación. Me refiero aquí sólo está iterando 68 veces con esa llamada de GetModuleHandle pero luego no hace nada con el resultado entiendo. O me estoy equivocando  :huh:
En línea
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.517


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Pregunta trozo código ensamblador de malware
« Respuesta #5 en: 19 Junio 2017, 17:39 pm »
Cita de: orApic en 19 Junio 2017, 17:32 pm
Podrías explicarte? No entiendo porqué sería ofuscación. Me refiero aquí sólo está iterando 68 veces con esa llamada de GetModuleHandle pero luego no hace nada con el resultado entiendo. O me estoy equivocando  :huh:

Claro. Es un bucle que no hace nada, pero que llama a una API. Puede que sea para confundir a los analizadores automáticos (como haz dicho, este código proviene de un malware).

Llamar a esa API más de una vez, en un bucle y sin usar el resultado; equivale a no hacer nada excepto perder ciclos de cpu.

Saludos!
En línea
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
orApic

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Pregunta trozo código ensamblador de malware
« Respuesta #6 en: 19 Junio 2017, 17:44 pm »
Cita de: MCKSys Argentina en 19 Junio 2017, 17:39 pm
Claro. Es un bucle que no hace nada, pero que llama a una API. Puede que sea para confundir a los analizadores automáticos (como haz dicho, este código proviene de un malware).

Llamar a esa API más de una vez, en un bucle y sin usar el resultado; equivale a no hacer nada excepto perder ciclos de cpu.

Saludos!

mmm Puede ser sí. Gracias!
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
VB .Net decompilado, necesito quedarme con un trozo de codigo en el EXE.
Ingeniería Inversa 		olevlove 2 2,884 Último mensaje 15 Mayo 2010, 21:06 pm
por olevlove
Pasar a código ensamblador [Ayuda]
ASM 		leogtz 6 11,204 Último mensaje 6 Diciembre 2011, 21:41 pm
por leogtz
Reconstruir este trozo de código en java
Java 		Tuplado 6 3,293 Último mensaje 16 Octubre 2012, 19:23 pm
por sapito169
Codigo en lenguaje de ensamblador MIPS
ASM 		rbetgar 3 4,057 Último mensaje 10 Mayo 2017, 20:06 pm
por MCKSys Argentina
Ayuda con este trozo de código
Programación C/C++ 		valrojo 2 2,224 Último mensaje 16 Noviembre 2019, 10:20 am
por valrojo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines