Foro de elhacker.net

Seguridad Informática => Abril negro => Mensaje iniciado por: Karcrack en 7 Abril 2009, 19:00 pm



Título: [RET Exe Corruption] Corrompe cualquier Ejecutable
Publicado por: Karcrack en 7 Abril 2009, 19:00 pm
Buenas tardes ;D

Hoy os presento este metodo de 'corrupcion' de ejecutables. Desde que vi el metodo que posteo Mad estuve pensando:
Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/metodo_ifeo_bug_image_file_execution_options-t249670.0.html

Este metodo modifica el ejecutable para que nada mas abrirse se cierre, agregando un RET al pimer byte ejecutado.

Que tiene de especial?
  • Solo modifica un Byte
  • Trabaja con el PE
Problemas? Solo uno:
  • Necesitas permisos de escritura en el fichero, si esta abierto no podras...

Pasos a seguir para aplicar este metodo:
  • Se obtiene el Entry Point RVA del fichero
  • Se pasa a RAW
  • Se reemplaza el primer BYTE por un RET (C3h)

Aqui teneis el codigo en VB:
Código:
http://foro.elhacker.net/programacion_vb/sourceret_exe_corruption_corrompe_cualquier_ejecutable-t251138.0.html;msg1211626#msg1211626


Saludos ;)


Título: Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
Publicado por: Arkangel_0x7C5 en 7 Abril 2009, 19:45 pm
jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan


Título: Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
Publicado por: Karcrack en 7 Abril 2009, 19:51 pm
jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan
Cierto, para cargarselo con cambiar algunas valores que no hay que tocar sobra... se me olvido decir que:


Lo 'corrompe' sin mostrar ningun error

 :laugh: :laugh: :laugh:


Título: Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
Publicado por: Mad Antrax en 7 Abril 2009, 19:58 pm
Sirve igual si haces un #Put en el primer byte, que por norma es la letra "M" y listos. Todo fichero PE empieza con los carácteres "MZ" al inicio. Pero de igual forma buena tool

:)


Título: Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
Publicado por: Karcrack en 7 Abril 2009, 20:06 pm
Sirve igual si haces un #Put en el primer byte, que por norma es la letra "M" y listos. Todo fichero PE empieza con los carácteres "MZ" al inicio. Pero de igual forma buena tool

:)

El problema es que pierde el icono y sale esa fea pantalla negra :xD

Con este metodo no sale nada...


Título: Re: [RET Exe Corruption] Corrompe cualquier Ejecutable
Publicado por: [Zero] en 8 Abril 2009, 13:13 pm
En realidad no lo corrompe, cambias el código pero el programa funciona, sólo que retorna al ser arrancado  :xD.

Saludos