elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  porque la EIP no cambia cuando modifico los hexadecimales?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: porque la EIP no cambia cuando modifico los hexadecimales?  (Leído 3,131 veces)
Belial & Grimoire


Desconectado Desconectado

Mensajes: 559


Tea_Madhatter


Ver Perfil
porque la EIP no cambia cuando modifico los hexadecimales?
« en: 9 Noviembre 2009, 23:53 pm »

hola

tengo un duda... miren tengo un archivo con 10000 numeros hexadecimales al azar... y eso provoca un overflow a un programa, el programa esta documentado... asi que mi problema no es como hacer un exploit.

lo que pasa es que en ese archivo donde tengo los hexadecimales, al abrirlo con el programa que crashea, la EIP me marca unos numeros hexadecimales... hice un codigo para reemplazar esos numeros por otros para que al abrirlo de nuevo con el mismo programa y usando OllyDbg me marque la EIP con los numeros que acabo de modificar... pero no se modifican

ahora, cuando con el editor de hexadecimal, modifico los hexadecimales poco a poco me doy cuenta que lo que sobreescribe la EIP esta en otra parte...

por ejemplo.. supuestamente olly me dice que lo que tengo que modificar es la EIP que tiene 35373632, pero cuando lo hago la EIP no se modifica, pero cuando busque con el editor hexadecimal, me aparecio que tenia que modificar los hexadecimales 36383532... y al hacerlo si se modifica bien EIP

lo que no entiendo es porque pasa eso?

alguien sabe?

salu2
« Última modificación: 9 Noviembre 2009, 23:57 pm por Belial & Grimoire » En línea

.                                 
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: porque la EIP no cambia cuando modifico los hexadecimales?
« Respuesta #1 en: 10 Noviembre 2009, 01:11 am »

delta offset?
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.131


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: porque la EIP no cambia cuando modifico los hexadecimales?
« Respuesta #2 en: 10 Noviembre 2009, 01:37 am »

Hola!

Quizás no estés teniendo en cuenta, que cuando un valor hexa se carga en un registro, los valores se "invierten".

Esto es, por ej., si en la memoria tienes el valor: 0BADC0DE, cuando cargas el valor en un registro (EIP, EAX, etc) vas a ver el valor DEC0AD0B.

PUEDE SER que gracias a ésto, no encuentres el valor que dice EIP en el archivo Hexa.

Saludos!

En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: porque la EIP no cambia cuando modifico los hexadecimales?
« Respuesta #3 en: 10 Noviembre 2009, 17:49 pm »

cierto cuando trabajas con el stack es diferente ya que es una estructura LIFO ( Last In First Out ) quiere decir que lo primero q entra es el ultimo que sale.

Citar
lo que pasa es que en ese archivo donde tengo los hexadecimales, al abrirlo con el programa que crashea, la EIP me marca unos numeros hexadecimales... hice un codigo para reemplazar esos numeros por otros para que al abrirlo de nuevo con el mismo programa y usando OllyDbg me marque la EIP con los numeros que acabo de modificar... pero no se modifican

Ahora lo que entiendo hay que quieres modificar el Entry Point

Si no me equivo ( espero que no ) aqui lei sobre como cambiar el EntryPoint por tu Encriptacion

http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_asi_funcionan_los_crypters_encriptando_malware_a_mano-t262806.0.html

Ahora si me equivoco, te recomiendo buscar los tutos de ZeroPad donde te enseña a parte de crear virus en asm a cambiar el EntryPoint! :D
y creo q es lo que necesitas


else

puedes descargarte

http://foro.elhacker.net/analisis_y_diseno_de_malware/proyecto_metamorph-t252898.0.html

el codigo fuente del proyecto de Hacker_Zero y fiajarte como cambia el EntryPoint !

Espero haberte ayudado :D :P


En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines