elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Que es un RunPE?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Que es un RunPE?  (Leído 14,941 veces)
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Que es un RunPE?
« Respuesta #10 en: 30 Septiembre 2011, 13:39 pm »

Una gran explicación Swash ;-)

Se puede hacer en VB6 lo del cifrado facilmente... pero habría que perder algunas funcionalidades propias del lenguaje... o bien toquetear el linker :P
« Última modificación: 30 Septiembre 2011, 13:41 pm por Karcrack » En línea

[Kayser]

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Que es un RunPE?
« Respuesta #11 en: 16 Octubre 2011, 11:29 am »

Buena tarde,
Con respecto a las respuestas, todas están erradas, pero vamos no del todo y no es por desmeritarles. En realidad el RunPE obviamente tiene estrecha relación con el Formato PE, pero no es exactamente eso.
El famoso RunPE es una técnica la cual permite ejecutar archivos ("on the fly" - Karcrack), es decir sin necesidad de que el archivo ocupe tamaño físico, esto se hace porque el archivo está plasmado en un buffer en memoria. Esta técnica es usada en malware generalmente en Cifradores, los cuales tienen en su cuerpo el archivo cifrado, luego en memoria lo descifran y lo ejecutan, y esto no llamará mucho la atención.

Como funciona un RunPE:
  • Comprobar que es un ejecutable válido (MZ & PE/x0/x0 Signature).
  • Crear un nuevo proceso suspendido (Generalmente con el mismo ejecutable).
  • Desasignar la proyección del archivo en ese proceso, ImageBase. (Limpiar el ejecutable del proceso).
  • Obtener contextos (Registros).
  • Reservar en memoria la dirección del ImageBase del ejecutable con un tamaño del campo SizeOfImage. (ImageBase y SizeOfImage del archivo a ejecutar).
  • Escribir la cabecera y las secciones alineadas por el campo SectionAlignment.
  • Editar EAX en los registros leídos por la dirección del punto de entrada del archivo a ejecutar.
  • Editar EBX + 8 por el ImageBase del ejecutable a cargar (Cambiar base de la imagen del nuevo proceso).
  • Editar con el nuevo contexto (Escribir registros).
  • Iniciar el proceso suspendido.

Un saludo.

Buenas reabro el tema porque yo tambien tengo dudas sobre el RunPE...
Alguien mas puede arrojar algo mas de luz sobre el tema?
Alguien puede explicarme que se entiende por obtener los contextos de un proceso? Tampoco entiendo porque hay que editar el ebx+8...
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RunPE Killer V. 1.0 By Psymera
Ingeniería Inversa
psymera 6 8,221 Último mensaje 17 Septiembre 2009, 18:25 pm
por Arkangel_0x7C5
Ayuda creacion RunPE VB6
Análisis y Diseño de Malware
fary 3 5,087 Último mensaje 28 Enero 2011, 22:33 pm
por fary
Puedo modificar este trozo de Runpe??
Programación Visual Basic
xivan25 0 2,076 Último mensaje 21 Octubre 2011, 02:02 am
por xivan25
Duda RunPE
Análisis y Diseño de Malware
[Kayser] 2 3,475 Último mensaje 10 Diciembre 2011, 13:34 pm
por [Kayser]
Ayuda RunPe win7
.NET (C#, VB.NET, ASP)
Cromatico 8 5,542 Último mensaje 30 Noviembre 2012, 13:19 pm
por Cromatico
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines