Mostrar librerias cargadas en programa

Páginas: << < (2/10) > >>

Eternal Idol:

Si, me equivoque como dijiste que se veia la direccion y no tengo el MASM32 instalado ahora  :silbar: Igual ya lo probe a mano, con MessageBoxW funciona, ojo que nada te asegura que sean cadenas los Buffer, por eso UNICODE_STRING tiene campos de tamaño.

Código
--
mov eax, fs:[30h]
--
mov eax, [eax + 0Ch]
--
lea eax, [eax + 0Ch]
--
mov eax, [eax]
--
mov ebx, [eax + 30h]
--
invoke MessageBoxW, 0, ebx, ebx, 0
--


Vaagish:

Citar
--
Sera un problema con esas macros, proba con MessageBoxW.
--

Si señor.. ahi si que funciona!

Código
--
invoke MessageBoxW, NULL, ebx, addr Titulo, MB_OK
--

El titulo sale mocho porque es W, pero no importa.. paso a explicar,, estoy viendo cual es, o son las librerias que inyecta el AV cuando pone un ejecutable en la SandBox,, o cuales le inyecta porque si nomas.. y ahora viendo eso justamente,, veo que me carga la libreria "RocketDock.dll", esto quiere decir que el dock hace su chanchada tambien?? Aparte hay un monton de librerias cargadas.. propio de Win7 quizas??

Saludos!

Citar
--
Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
--

Citar
--
ojo que nada te asegura que sean cadenas los Buffer, por eso UNICODE_STRING tiene campos de tamaño
--

Habia leido algo de eso si.. entonces puedo tener caracteres extraños sin 0 al final.. nop?

Eternal Idol:

Cita de: Vaagish en 24 Abril 2014, 05:42 am
--
El titulo sale mocho porque es W, pero no importa.. paso a explicar,, estoy viendo cual es, o son las librerias que inyecta el AV cuando pone un ejecutable en la SandBox,, o cuales le inyecta porque si nomas.. y ahora viendo eso justamente,, veo que me carga la libreria "RocketDock.dll", esto quiere decir que el dock hace su chanchada tambien?? Aparte hay un monton de librerias cargadas.. propio de Win7 quizas??
--

¿RocketDock? No tengo eso, tal vez sea un software que instalaste:
http://www.file.net/process/rocketdock.dll.html

Fijate con el Dependency Walker cuales tenes enlazadas estaticamente en tu ejecutable y en otras DLLs que se carguen. El subsystem de Windows necesita NTDLL.dll y con alguna funcion (ejemplo MessageBoxW que carga User32.dll y esta varias mas) casi seguro cargas Kernel32.dll y esta a su vez Kernelbase.dll.

Cita de: Vaagish en 24 Abril 2014, 05:42 am
--
Habia leido algo de eso si.. entonces puedo tener caracteres extraños sin 0 al final.. nop?
--

El buffer termina en el ultimo caracter valido, despues de eso la memoria corresponde a otra cosa.

Vaagish:

Citar
--
¿RocketDock? No tengo eso, tal vez sea un software que instalaste:
--

Ha,, sii.. es un dock que tengo instalado.. pero no se que hace metiendose en otros procesos..  :¬¬

Citar
--
Fijate con el Dependency Walker cuales tenes enlazadas estaticamente en tu ejecutable y en otras DLLs que se carguen. El subsystem de Windows necesita NTDLL.dll y con alguna funcion (ejemplo MessageBoxW que carga User32.dll y esta varias mas) casi seguro cargas Kernel32.dll y esta a su vez Kernelbase.dll.
--

Es verdad,, estan esas librerias tambien que no tome en cuenta..

Gracias EI! Saludos!

xv0:

Cita de: Vaagish en 24 Abril 2014, 05:09 am
--
Efectivamente, funciona perfecto en intel..

Y al parecer, tambien tenes razon.. La verdad es que a mi me queda mucho por aprender de ASM.. y habia entendido el codigo de la primer manera que lo vi.. ahora no entiendo porque encontre esa forma que es mas rebuscada,, supongo, quizas.. porque todos los ejemplos que vi son shellcodes y cosas por el estilo,, quizas sea una forma de "camuflar" la intencion... pero la verdad, tampoco estoy seguro...

Gracias cpu2! Saludos!

--

Si, eso esta mas enfocado para las shellcode´s, ya que asi se "juega" mas con otros opcodes y no salta a la vista tan rapido, de poder puedes usar hasta la FPU.

Pero simplemente comente, porque no tiene ningun sentido hacer todo lo que te indique antes, es hasta estupido, sin ofender.

Un saludo.

P.D: Segun estoy viendo, estas enserio con el malware.

Páginas: << < (2/10) > >>