elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Java [Guía] Patrones de diseño - Parte 1


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Problema al mover Bound Import Problema para copiar y pegar
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Problema al mover Bound Import Problema para copiar y pegar  (Leído 630 veces)
kisk

Desconectado Desconectado

Mensajes: 55



Ver Perfil
Problema al mover Bound Import Problema para copiar y pegar
« en: 2 Abril 2017, 23:00 »

Hola amigos viendo los diferentes tutoriales sobre el PE Header el de Ferchu y el de The Swash  ;-) ;-) ;-) me surgio un problema al mover el Bound Import del Tutorial The Swash de la parte "practica #2:"  con un archivo en visual basic que en si es un msgbox nada mas
cito
Citar
¿Hay solución?
Si, te cuento que hay 2 una menos ortodoxa que la otra pero ambas funcionan. Una preservadora y otra no presevadora.

    Primera solución: Yoda(creador de LordPE) alguna vez mencionó que se puede establecer el RVA del directorio BOUND_IMPORT_DIRECTORY a 00 porque este era poco importante. Mi amigo karmany opinó al respecto y estoy de acuerdo con él, este directorio tiene como utilidad optimizar entonces me parece que importa. El ejecutable no deja de funcionar pero no preserva el estado original del ejecutable.
    Segunda solución: Personalmente me parece la mejor y consiste en mover de sitio el BOUND_IMPORT_DIRECTORY. Si sabemos que está justo despues de la última sección, tranquilamente lo desplazamos 0x28 bytes y así tenemos espacio para una función. Posteriormente se actualiza el RVA en el Directorio de datos y lo habríamos solucionado.

Metodo 1 poner en 0     RVA: 0x000,Size: 0x00 correcto hasta aqui

EL PROBLEMA ( seguro es algo bien sencillo lo que me falla )

Cuando muevo 0x28 bytes para mover ahi osea quedaria 0x228 + 0x28 =0x250 vamos al HEX editor PASOS QUE ESTOY SIGUIENDO EN LAS IMAGENES
 PASO 1
Compio los bytes de la bound Import despues me voy 0x28 bytes despues


PASO 2
 y ahi pego los datos posteriomente con el LORD PE cambio el RVA:0x250 pero




Pero me rompe el archivo ahora si tecleo a mano los datos de la Bound Import me jala no me rompe el archivo  alguien sabe si estoy haciendo algo mal en el HEX porque cuando pego veo que me hace mas chico el ARCHIVO de 1 a 4 bytes maximo por los offsets que me muestra al final ya lo pongo en la imagen alguien sabe que podria estar haciendo mal ???
Antes me posiciono al ultimo y me dice que es el offset 4000 despues de pegar los Bytes me dice 3FFB



 Ya Logre mover la Bound Import  pero tecleando todos los datos  a mano en este archivo son 20 pero supongo si quiero modear algo mas grande van a ser mas por eso quiero saber como copiarlos y pegarlos desde el editor HEX



Gracias y Saludos!!!

MOD: Imágenes adaptadas a lo permitido.





« Última modificación: 2 Abril 2017, 23:04 por MCKSys Argentina » En línea

La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)
fary
Moderador
***
Desconectado Desconectado

Mensajes: 820

FASM / OllyDbg


Ver Perfil WWW
Re: Problema al mover Bound Import Problema para copiar y pegar
« Respuesta #1 en: 3 Abril 2017, 16:55 »

Cual es el archivo que estas usando para las pruebas? Podrías subirlo?

saludos.
En línea

Un byte a la izquierda.
kisk

Desconectado Desconectado

Mensajes: 55



Ver Perfil
Re: Problema al mover Bound Import Problema para copiar y pegar
« Respuesta #2 en: 4 Abril 2017, 03:13 »

Es un simple msgbox
https://www.sendspace.com/file/jx9j7r
Saludos   ;) ;) ;)
En línea

La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines