elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Inline Patching NotePad -Asm & OllyDBG-
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inline Patching NotePad -Asm & OllyDBG-  (Leído 6,061 veces)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Inline Patching NotePad -Asm & OllyDBG-
« en: 12 Octubre 2009, 21:20 pm »

Inyeccion NotePad -Asm & OllyDBG-

Bueno parecer que este post no tiene dueño xD ya que lo an visto en una pagina y el blog donde yo lo vi dicen q no se acuerda de la pagina donde lo vio asi que Creditos para esa pagina ;) y Harner por volverla hacer :D

He y llarmarlo Inyeccion, no se si la verdad lo es pero bue. me gusta como suena xD

Ahora viene el TuTo totalmente escrito por mi e editado por su servidor en la forma de explicacion :)

Este tutorial tiene fines totalmente didácticos. No me responsabilizo por cómo se pueda utilizar el mismo.

IMPORTANTE:Cualquier tipo de error que encuentren el el tutorial, posteenlo. De esta manera aprendemos todos.
IMPORTANTE:El Debugger a usar es el OllyDBG.
IMPORTANTE:Algunas direcciones de Memoria vistas en este Tutorial puede ser Diferente al del lector.
IMPORTANTE:Escribir las Direcciones de Memorias en uso para su proxima utilización en este Tutorial.

Conocimientos previos básicos requeridos.


Conocimiento Basico en ASM.
Conocimiento en Utilización del OllyDBG.


Software necesario


OllyDbg 1.10
NotePad.


1 ) Para Comenzar Ejecutemos El NotePad.

2 ) Abrir el OllyDBG y abrir el NotePad en el Mismo.




3 ) Buscar Espacios Vacios.

Ahora buscaremos espacios vacios DB 00 (en otros Casos algo que el OllyDBG no pudo analizar, y este no lo es xD),

4 ) Editar.

Hagamos lo siguiente:


-Sombrear una cierta cantidad de DB 00
-Click Derecho BINARY - EDIT, o Simplemente Ctrl + E*

*Como se muestra en la imagen



Escribimos Para el Titulo: "Inyeccion By Nox"
Escribimos Para el Mensaje: "Personalizacion"*

*Por supuesto hacerlo Uno por Uno, como se muestran en las imagenes:

Para el Titulo:


Damos OK

Esto Aparecerá:



--> Pues facil Hacer lo siguiente:
-Sombrear el Cod Editado
-Click Derecho ANALYSIS - ANALISYS CODE

Para el Mensaje:



Damos OK

--> Repetir lo Anterior

Este Es Final del Procedimiento:



5 ) Creando un MsgBox.

Hacer lo siguiente*:

PUSH 0; Para el Boton OK
PUSH 30AA7EA2; Pusheamos Nuestra Direccion de memoria ( Addy ) de Nuestro ASCII ( En este caso "Personalizacion")
PUSH 30AA7E91; Pushemaos el Addy de Nuestro Mensaje
PUSH 0; Para nuestro icono, en este caso no habra xD
Call MessageBoxA; Llamar a la API de User32.dll

*Como se muestra en la imagen:


5 ) Llamando a Nuestra Rutina
Ustedes Piensan esta listo pues no! ya que como el programa ya tiene su rutina de ejecucion, no tomara la nuestra por logica u_u, lo que haremos es pues inyectar nuestra rutina en la del programa.

Hacemos lo siguiente:
-Click Derecho GOTO - ORIGEN



Editemos Nuestra primera linea del codigo, lo que haremos es hacer un salto ( jmp ) hacia nuestra rutina ( espero que tengas las addys ya escritas y guardadas )

Hacemos lo siguiente:

Un Jump hacia nuestra rutina:
-Ya situados en el ORIGEN apretar  SPACE
-Hacer un Jump con nuestra addy de la rutina*

*Guardar la syntaxis asta el Call visto! para su proxima utilizacion.

JMP 30AA7EB2



Vemos que se NOPeo el push a una addy del programa ( espero que ya lo hallan guardo ese push y sus direcciones de memoria)



Muy bien, hasta ahora vamos OK, ahora si borramos un par de lineas en algun codigo del programa no va a funcionar asi que hagamos lo siguiente:

6 ) Normalizar nuestra Inyeccion

Hemos borrado dos lineas del programa:

PUSH 70
PUSH 1001898

Normalicemos, Ir hacia el final de nuestra rutina del MsgBox, y hacer lo siguiente:

PUSH 70
PUSH 1001898
JMP 300019F5



Lo que estamos haciendo es hacer un simple JUMP hacia nuestra Rutina Restaurar el Cod del Programa y hacer otro JUMP hacia algunos de los NOP hechos al Editar El Origen, para que el programa ejecute normal pasando por Nuestro MessageBoxA. xD xD

Asi que si tracean el Programa veran esto:



Ahora sabemos que cuando cerremos y habramos devuelta el OllyDBG con el NotePad pues no se guardara lo que modificamos, asi que hagamos lo siguiente:

-Click Derecho COPY TO EXECUTABLE - ALL MODIFICATIONS .
-Se habre otra ventana. Click en COPY ALL
-Cerremos la siguiente.
-Finalmente Cerramos la Ventana D del OLLY ( Aparece en el Marco Superior Derecho)
-Lo Guardan con el Nombre que desean y Listo :D

Aparecera Nuestro MsgBox




Y despues Se abrira nuestro NotePad JuJuJuJu :D

Bueno ya esta la idea xD ahora que podran hacer con esto pues es su imaginacion, como meter ShellCodes :P ya depende de ustedes lo que sea ;)

Si este no es el Resultado revisen bien cada linea escrita por ustedes!, y les Saldra

Atte: Member UnderNixerTeam
« Última modificación: 13 Octubre 2009, 16:37 pm por NoxOner » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Inyeccion NotePad -Asm & OllyDBG-
« Respuesta #1 en: 13 Octubre 2009, 02:35 am »

Hola!

Lo que haz hecho, normalmente se conoce como "Inline Patching".

Utilizando este método, se puede crackear cualquier tipo de aplicación (siempre y cuando evites que el parche sea detectado, si es que el EXE lo detecta :))

Si pasas por la web de Ricardo, vas a encontrar muchos tutoriales al respecto:
Código:
www.ricardonarvaja.info

Saludos!


En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.615


Sueñas que sueñas


Ver Perfil WWW
Re: Inyeccion NotePad -Asm & OllyDBG-
« Respuesta #2 en: 13 Octubre 2009, 10:51 am »

Muchas gracias NoxOner por la colaboración.

He guardado tu tutorial. Puede resultar de mucha utilidad a gente que quiera aprender.

Un saludo
karmany
En línea

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: Inyeccion NotePad -Asm & OllyDBG-
« Respuesta #3 en: 13 Octubre 2009, 16:28 pm »

Hola!

Lo que haz hecho, normalmente se conoce como "Inline Patching".

Utilizando este método, se puede crackear cualquier tipo de aplicación (siempre y cuando evites que el parche sea detectado, si es que el EXE lo detecta :))

Si pasas por la web de Ricardo, vas a encontrar muchos tutoriales al respecto:
Código:
www.ricardonarvaja.info

Saludos!




a no sabia que se llamaba asi xD ps lo paso a editar :D

uhm y como hago para el EXE no lo detecte?

los de ricardo narvaja creo q cualquiera que se a iniciado en este arte lo atenido que leer :D pero aun no llego a esa parte estoy en la leccion 18 Lento pero Seguro :D

a y solo me pueden llamar Nox mas facil xD
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Inline Patching NotePad -Asm & OllyDBG-
« Respuesta #4 en: 13 Octubre 2009, 19:24 pm »

uhm y como hago para el EXE no lo detecte?

Pues, como te dije, SI es que el EXE lo detecta. Eso depende de cada ejecutable y el tipo de proteccion que implemente. Sólo basta con un simple CRC para que el programa se de cuenta de que ha sido modificado.

La forma mas sencilla de comprobar esto es ver el comportamiento del ejecutable antes y despues del parcheo. Si todo esta bien y funciona como es debido, es muy probable que no lo haya detectado.

En el caso del Notepad, no tiene chequeos (al parecer) por lo que el parcheo funcionará perfectamente.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Gas Inline con Síntaxis Intel
ASM
farresito 3 6,400 Último mensaje 1 Julio 2011, 00:27 am
por farresito
[?] funciones inline y returns
Programación C/C++
oxydec 1 3,670 Último mensaje 8 Abril 2011, 08:45 am
por Akai
[VB+ASM][SRC] PUTMEMx - PUTMEM1,2,4,8,... [ASM inline]
Programación Visual Basic
x64core 2 2,618 Último mensaje 10 Diciembre 2011, 23:45 pm
por x64core
API Hooking by IAT Patching
Análisis y Diseño de Malware
Binary_Death 0 2,273 Último mensaje 22 Abril 2012, 17:00 pm
por Binary_Death
ASM INLINE GCC
Programación C/C++
HaX991 0 1,875 Último mensaje 11 Mayo 2012, 19:50 pm
por HaX991
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines