elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  duda con VirtualAlloc		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: duda con VirtualAlloc  (Leído 2,941 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
duda con VirtualAlloc
« en: 31 Agosto 2011, 07:23 am »
si, tengo una duda, quiero crear una sección virtual en el address 160000 en donde luego pueda introducirle datos, pero no he podido lograrlo no sé que parámetros tengo que pushear. Sí investigué la API pero EAX siempre me devuelve 0000 por lo que la sección no se ha creado, como puedo hacer eso?

Saludos
En línea

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: duda con VirtualAlloc
« Respuesta #1 en: 31 Agosto 2011, 08:02 am »
En memoria aparece lo siguiente:
........
......
...
.
Memory map, item 5
 Address=00140000
 Size=00009000 (36864.)
 Owner=         00140000 (itself)
 Section=
 Type=Priv 00021004
 Access=RW
 Initial access=RW
Memory map, item 6
 Address=00240000
 Size=00006000 (24576.)
 Owner=         00240000 (itself)
 Section=
 Type=Priv 00021004
 Access=RW
 Initial access=RW
.....
..
.
.

Mi duda es como crear la dirección 160000, ya que un programa por método antidump la crea, me gustaría realizar lo mismo, con pupe logré volcarla, pero tengo problemas para colocarla con LordPE:
en pupe me aparece:
....
..
140000
16A000
......
.....
..
necesito 160000, por eso volco 140000 una vez volcado, abro LordPe y agrego la sección, luego de eso modifico el virtual offset de la sección agregada
0400000-0140000 esto me da 2C0000 introduzco el resultado en virtual offset, pero no funciona ya que al dirigirme a 160000 no existe, pero si busco en la sección añadida,está lo que quiero pero en otra address

Por eso buscada una de las dos opciones pero ninguna funciona

si alguien me pudiera ayudar, Muchas gracias :D
En línea

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: duda con VirtualAlloc
« Respuesta #2 en: 31 Agosto 2011, 17:40 pm »
0044A181      68 00400000   PUSH 4000
0044A186      68 00800200   PUSH 28000
0044A18B      68 00001400   PUSH 140000
0044A190      E8 DFF93B7C   CALL kernel32.VirtualFree
0044A195      6A 04         PUSH 4
0044A197      68 00200000   PUSH 2000
0044A19C      68 00C00300   PUSH 3C000
0044A1A1      68 00001400   PUSH 140000
0044A1A6      E8 36F93B7C   CALL kernel32.VirtualAlloc
0044A1AB      6A 04         PUSH 4
0044A1AD      68 00100000   PUSH 1000
0044A1B2      68 00C00300   PUSH 3C000
0044A1B7      68 00001400   PUSH 140000
0044A1BC      E8 20F93B7C   CALL kernel32.VirtualAlloc
En línea

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: duda con VirtualAlloc
« Respuesta #3 en: 1 Septiembre 2011, 15:57 pm »
te acuerdas de pelock? busca toda la informacion de ese packer (de los tutoriales) y veras bastante apuntes,
marciano, hizo un tutorial bueno, entre otros

virtualalloc reserva un espacio de memoria y virtual free lo libera..
el tema delicado aveces es re-calcularlo para que caiga en la sección , o bien usar el mismo puede llevar muchos lios..revisa como lo hizo ricardo en ese mismo tipo

yo hace no mucho preferi parcharlo manualmente una redireccion porque tenia tiempo, pero no se tu, pero es complejo un poco llegar agregar la api, agregar la importacion, luego colocar el injerto y probar en mas de un s.o.

versus agregar la sección , calcular los rva ,luego parchar en los errores.

saludos Apuromafo
En línea
Apuromafo
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: duda con VirtualAlloc
« Respuesta #4 en: 1 Septiembre 2011, 18:07 pm »
Cita de: apuromafo en  1 Septiembre 2011, 15:57 pm
te acuerdas de pelock? busca toda la informacion de ese packer (de los tutoriales) y veras bastante apuntes,
marciano, hizo un tutorial bueno, entre otros

virtualalloc reserva un espacio de memoria y virtual free lo libera..
el tema delicado aveces es re-calcularlo para que caiga en la sección , o bien usar el mismo puede llevar muchos lios..revisa como lo hizo ricardo en ese mismo tipo

yo hace no mucho preferi parcharlo manualmente una redireccion porque tenia tiempo, pero no se tu, pero es complejo un poco llegar agregar la api, agregar la importacion, luego colocar el injerto y probar en mas de un s.o.

versus agregar la sección , calcular los rva ,luego parchar en los errores.

saludos Apuromafo

si tienes razón de hecho no he podido lograrlo, por ende es mejor hacer injerto y parchear los saltos para que se dirijan a la nueva sección creada

Saludos
En línea

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
apuromafo CLS


Desconectado Desconectado

Mensajes: 1.441



Ver Perfil WWW
Re: duda con VirtualAlloc
« Respuesta #5 en: 1 Septiembre 2011, 20:30 pm »
emm mira un poco:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1374-complemento%20introduccion_41_coderedirection%20pelock%20by%20Apuromafo.pdf.7zo

se renombra a 7z..yo por ejemplo use el ollyscript, mira un poco porque esta un poco hardcoded por que ya algo aprendi..
En línea
Apuromafo
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pequeña duda con un comando batch (NUEVA DUDA RELACIONADA)
Scripting 		revenge1252 9 9,809 Último mensaje 13 Febrero 2008, 21:41 pm
por revenge1252
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines