elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  [Script]HBP bypass excepciones
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [Script]HBP bypass excepciones  (Leído 5,716 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
[Script]HBP bypass excepciones
« en: 23 Septiembre 2011, 07:14 am »

Hola a todos, les dejo un simple script para aquellos que se inician en esto, consiste en un script para colocar HBP tanto como read access execute, la gran ventaja es que estos HBP son borrados si se producen excepciones con el fin de no ser detectados una vez retomada la excepción se vuelven a colocar:

Código
  1. var AUX
  2. VAR TIPO
  3. var KIUSER
  4. var ZWCONT
  5. var HBP
  6. gpa "KiUserExceptionDispatcher", "ntdll.dll"
  7. mov KIUSER, $RESULT
  8. bp KIUSER
  9. gpa "ZwContinue", "ntdll.dll"
  10. mov ZWCONT, $RESULT
  11. bp ZWCONT
  12. ADDRESS:
  13. ask "Dirección del HBP"
  14. cmp $RESULT, 0
  15. je ERROR
  16. mov HBP, $RESULT
  17. PREGUNTA:
  18. ASK "Tipo de HBP,r-w-x"
  19. MOV TIPO,$RESULT
  20. CMP TIPO, "r"
  21. JE INICIO
  22. CMP TIPO, "w"
  23. JE INICIO
  24. CMP TIPO, "x"
  25. JE INICIO
  26. JMP ERROR2
  27. INICIO:
  28. EVAL "{TIPO}"
  29. bphws HBP, $RESULT
  30. TRABAJO:
  31. eob COMPROBAR
  32. run
  33. COMPROBAR:
  34. cmp eip,KIUSER
  35. je QUITAR
  36. cmp eip,ZWCONT
  37. je BREAKPOINT
  38. cmp eip,AUX
  39. je RESTAURAR
  40. jmp SALIR
  41.  
  42. QUITAR:
  43. bphwc HBP
  44. jmp TRABAJO
  45.  
  46. BREAKPOINT:
  47. mov AUX,esp
  48. add AUX,4
  49. mov AUX,[AUX]
  50. add AUX,0b8
  51. mov AUX,[AUX]
  52. bp AUX
  53. jmp TRABAJO
  54. RESTAURAR:
  55. bc AUX
  56. jmp INICIO
  57.  
  58. ERROR:
  59. msg "Dirección incorrecta"
  60. jmp ADDRESS
  61. SALIR:
  62. msgyn "HBP encontrado,intentar nuevamente?"
  63. cmp $RESULT,1
  64. je INICIO
  65. ret
  66. ERROR2:
  67. MSG "Tipo de HBP incorrecto"
  68. JMP PREGUNTA

Es muy básico por lo que si a alguien se le ocurre alguna idea la integramos de inmediato, Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Tinkipinki

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: [Script]HBP bypass excepciones
« Respuesta #1 en: 27 Septiembre 2011, 10:58 am »

Hola .:UND3R:.
Tienes algun crackme en que hayas aplicado el script para ver como funciona?

Saludos
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [Script]HBP bypass excepciones
« Respuesta #2 en: 27 Septiembre 2011, 17:58 pm »

Son Unpackmes, prueba poner execution en 427B0 OEP sin el script no funcionan
 

ACProtect:
http://www.megaupload.com/?d=0BJWO39K

PELock:
http://www.megaupload.com/?d=1AETTA1G
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Tinkipinki

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: [Script]HBP bypass excepciones
« Respuesta #3 en: 28 Septiembre 2011, 10:46 am »

Ok, .:UND3R:.  lo pruebo y te comento.

Saludos
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [Script]HBP bypass excepciones
« Respuesta #4 en: 28 Septiembre 2011, 16:20 pm »

Ok, Muchas gracias. Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Tinkipinki

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: [Script]HBP bypass excepciones
« Respuesta #5 en: 29 Septiembre 2011, 12:28 pm »

Estoy probando el script y creo que no lo se hacer correr correctamente.
Te explico:

1- Cargo el PELock en el Olly
2- Sale la alerta del Entry Point outside....... y le doy Ok.
3- Sale la alerta del Compresed Code ....continue analisis y le doy Ok.
4- Corro el script y le entro la direccion 427B0
5- Entro el tipo de HBP como x sin el guion -x
6 El script va corriendo analizando direcciones hasta que salta una ventana de   
   error Don't know how to bypass command at address 003B33CB ....... y aqui
   se queda parado.

Probando con el ACProtectc solo de ejecutarlo me echa fuera.

Seguro que es problema mio de no saber correrlo pero bueno, ya me comentaras algo... :-[

Saludos
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [Script]HBP bypass excepciones
« Respuesta #6 en: 29 Septiembre 2011, 16:12 pm »

Debes tener plugins para ocultarlo, utiliza OllyAdvance con todo habilitado y lo de la excepción debes añadirla en olly intenta pasar con ctrl+f9 las excepciones
(La idea es que primero puedas lanzar el programa sin problemas, eso es trabajo tuyo jeje, después que puedas lanzarla desde olly. Te pones en el EntryPoint e intentas colocar un HadwareBreakpoint y verás que no te funcionarán y ahí es el momento de usar el script(bypass excepciones es un método que utilizan algunos packer para saber si se han puesto hadwarebreakpoint, cuando se genera una excepción se verifica en la estructura CONTEXT si existen o no hadwarebreakpoint, si es así el programa los barra sigue sin problemas para eso es el script).

Salir
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Tinkipinki

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: [Script]HBP bypass excepciones
« Respuesta #7 en: 29 Septiembre 2011, 18:13 pm »

Ok UND3R, problema solucionado.

Saludos
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [Script]HBP bypass excepciones
« Respuesta #8 en: 29 Septiembre 2011, 18:14 pm »

Excelente :D
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: [Script]HBP bypass excepciones
« Respuesta #9 en: 29 Septiembre 2011, 21:10 pm »

Es justo lo que iba hacer... en fin... haber como lo hago yop =/.

Nox.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Asprotect y método de las excepciones
Ingeniería Inversa
4rS3NI( 4 2,398 Último mensaje 14 Abril 2005, 01:51 am
por 4rS3NI(
Documentacion sobre excepciones
Ingeniería Inversa
SeSoX 0 1,725 Último mensaje 19 Diciembre 2006, 14:21 pm
por SeSoX
Dudas sobre excepciones en Olly.
Ingeniería Inversa
N0mada 6 3,679 Último mensaje 11 Septiembre 2010, 16:30 pm
por N0mada
Ayuda excepciones java!
Java
fosh 2 3,245 Último mensaje 27 Abril 2011, 07:31 am
por fosh
Problema con excepciones.
Java
|Miguel| 0 1,648 Último mensaje 5 Febrero 2012, 19:29 pm
por |Miguel|
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines