elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  ASM (Moderador: Eternal Idol)
| | | |-+  ¿cómo se ejecuta este codigo?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿cómo se ejecuta este codigo?  (Leído 2,557 veces)
concient

Desconectado Desconectado

Mensajes: 10


Ver Perfil
¿cómo se ejecuta este codigo?
« en: 24 Febrero 2019, 14:10 pm »
He encontrado este codigo en un hilo de este mismo post pero primero no puedo preguntar en ese muismo post y segundo no se como se ejecuta alguien puede ayudarme?

El hilo es el siguiente:
https://foro.elhacker.net/analisis_y_diseno_de_malware/inyecciones_de_codigo_en_memoria-t446557.0.html

Código:
format PE GUI 4.0
entry start
 
include 'win32ax.inc'
 
        Ventana db 'Buscaminas',0
        idproc dd ?
        ID dd ?
 
        TamFun dd ?
        DirFun dd ?
 
start:
        invoke FindWindow,NULL,Ventana
        invoke GetWindowThreadProcessId,eax,addr idproc   ;idproc = identficador del proceso
        invoke OpenProcess,PROCESS_ALL_ACCESS,0,[idproc]
        mov [ID],eax
 
        invoke LoadLibrary,"user32.dll" ;cargamos user32.dll
        invoke GetProcAddress,eax,"MessageBoxA" ;obtenemos la dirección de la api
        mov [mMessageBoxA],eax  ; movemos la dirección de la api a la variable que hay dentro de la funcion qeu inyectaremos
 
        mov eax,final  ;Obtenemos el tamaño de la función
        sub eax,Inyectado
        mov [TamFun],eax
 
        invoke VirtualAllocEx,[ID],0,[TamFun],MEM_COMMIT+MEM_RESERVE,PAGE_EXECUTE_READWRITE  ;generamos el espacio dentro del proceso
        mov [DirFun],eax
        invoke WriteProcessMemory,[ID],eax,Inyectado,[TamFun],0 ;escribimos nuestro código en el proceso
        invoke CreateRemoteThread,[ID],0,0,[DirFun],0,0,0  ;Lanzamos el hilo.
 
        ret
 
        proc Inyectado
             call offset  ;Técnica del offset delta.
             offset:
             pop ebx
             sub ebx,offset
             push ebx ebx
             pop ecx edx
 
             add ecx,titulo
             add edx,cuerpo
 
             push 0
             push ecx
             push edx
             push 0
 
             call [ebx+mMessageBoxA]
 
 
             ret
 
             titulo db 'Me inyecte!',0
             cuerpo db 'Este Mensage sale del buscaminas ^^',0
 
             mMessageBoxA dd ? ;variable que contiene la dirección de MessageBoxA@user32.dll
        endp
        final:
 
data import
     library kernel32,'Kernel32.dll',\
             user32,'user32.dll'
 
     import user32,MessageBoxA,'MessageBoxA',\
            FindWindow,'FindWindowA',\
            GetWindowThreadProcessId,'GetWindowThreadProcessId'
 
     import kernel32,OpenProcess,'OpenProcess',\
            GetModuleHandle,'GetModuleHandleA',\
            GetProcAddress,'GetProcAddress',\
            VirtualAllocEx,'VirtualAllocEx',\
            WriteProcessMemory,'WriteProcessMemory',\
            CreateRemoteThread,'CreateRemoteThread',\
            LoadLibrary,'LoadLibraryA'
end data
En línea
EdePC
Moderador Global
***
Desconectado Desconectado

Mensajes: 2.162



Ver Perfil
Re: ¿cómo se ejecuta este codigo?
« Respuesta #1 en: 24 Febrero 2019, 17:41 pm »
Saludos,

- Bueno, yo solo conozco Masm y lo trabajo con RadASM junto a los cursos/videos/pdf del grupo  RVLCN.

- Veo que Fasm es muy ligerito, voy a revisarlo, según veo puedes descargártelo desde: https://flatassembler.net/ , la descarga incluye ejemplos, pdf, miniIDE, etc. También están las instrucciones de compilación que necesitas.

- Otra cosa que veo es que tiene cierta base el en curso de Programación de Virus por zeroPad, son cursos antiguos que trabajan en Masm, pero si quieres profundizar puedes revisarlos.

http://www.ricardonarvaja/WEB/OTROS/PROGRAMACION%20DE%20VIRUS/

- En caso de los cursos de RVLCN, no veo que haya un sitio donde los tengan completos, supongo que me daré un tiempo para buscarlos completos y resubirlos, mientras tanto se puede ir viendo:
http://www.ricardonarvaja/WEB/OTROS/DE%20LA%20LISTA%20MASM32-RADSM/
« Última modificación: 2 Marzo 2019, 20:38 pm por Eternal Idol » En línea
concient

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: ¿cómo se ejecuta este codigo?
« Respuesta #2 en: 2 Marzo 2019, 20:11 pm »
 todos los links que has colgado estan caidos.
En línea
Eternal Idol
Kernel coder
Moderador
***
Desconectado Desconectado

Mensajes: 5.966


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: ¿cómo se ejecuta este codigo?
« Respuesta #3 en: 2 Marzo 2019, 20:39 pm »
El de flat assembler ahora funciona; el codigo esta explicado muy bien en el tema original, lee los manuales de la herramientas.
En línea
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
php no se ejecuta, en su lugar descarga el codigo
PHP 		twoz 3 5,697 Último mensaje 21 Abril 2009, 14:53 pm
por decrypt
Codigo php no se ejecuta bien en IE pero en chrome y firefox si !!!
Desarrollo Web 		HDS02 1 5,327 Último mensaje 1 Enero 2011, 00:34 am
por WHK
Por qué no se ejecuta este proceso de forma oculta?
.NET (C#, VB.NET, ASP) 		luison 1 2,788 Último mensaje 17 Agosto 2011, 07:28 am
por adan-2994
[Solucionado] Problema en codigo C++, no se ejecuta el else « 1 2 »
Programación C/C++ 		Mario Olivera 15 6,672 Último mensaje 30 Julio 2014, 15:03 pm
por leosansan
ayuda este codigo no se ejecuta
Programación C/C++ 		zayzed 5 3,015 Último mensaje 2 Mayo 2017, 01:48 am
por MAFUS
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines