|
Título: Ayuda - mover la IAT e IT Publicado por: Maurice_Lupin en 29 Mayo 2012, 21:31 pm Estoy tratando de mover la IAT y IT que se encuentran en la sección .text, asi cuando intento cifrar la sección el exe falla.
Intento trasladar estas tablas a otra sección pero el exe queda inservible. Agradeceria si comparten info,algún link sobre mover la IAT e IT. Saludos. Título: Re: Ayuda - mover la IAT e IT Publicado por: apuromafo CLS en 29 Mayo 2012, 21:50 pm existe una tool que puede ayudarte a mover la iat, pero debes estar seguro del lugar donde lo moverás(esto esta pensado para mover las apis a otro lugar)
http://magic.shabgard.org/UIF.zip?Reload por lo demas no olvides usar: http://ricardonarvaja.info/WEB/buscador.php en caso de querer reforzar temas como "redireccion", "iat","IT" saludos Apuromafo Título: Re: Ayuda - mover la IAT e IT Publicado por: Maurice_Lupin en 29 Mayo 2012, 22:07 pm Gracias, lo leeré. Pienso agregar una sección y mover alli la IAT e IT.
P.D: mi objetivo es realizar un Crypter en C#, si tienes (o alguien tiene) alguna recomendación se lo agradeceria. Por ahora estoy practicando con mi editor de Hexa y LordPE. Saludos. Título: Re: Ayuda - mover la IAT e IT Publicado por: MCKSys Argentina en 29 Mayo 2012, 22:23 pm Como recomendaciones, hay muchas. En el cracking ves muchos tipos de packers que hacen diferentes cosas cada uno.
Creo que para empezar a pensar el crypter desde cero, convendria ver algun paper sobre un packer sencillo (UPX) y en base a ese desarrollar un crypter. El objetivo seria entender como trabaja todo el tema de la IAT, las relocaciones, etc. Despues, es solo cuestion de imaginar porquerias para meterle... ;D Por las dudas: Codigo fuente del UPX: http://upx.sourceforge.net/download/upx-3.08-src.tar.bz2 Para compilar, ademas hace falta UCL: http://www.oberhumer.com/opensource/ucl/download/ucl-1.03.tar.gz Aunque te convendria ver las versiones mas antiguas a fin de ver los aspectos basicos: http://upx.sourceforge.net/download/00-OLD-VERSIONS/ Saludos! Título: Re: Ayuda - mover la IAT e IT Publicado por: apuromafo CLS en 29 Mayo 2012, 22:57 pm MCKSys Argentina +1
^^ Título: Re: Ayuda - mover la IAT e IT Publicado por: The Swash en 29 Mayo 2012, 23:23 pm Hola,
En base a los datos que te proporcione la entrada de la IT y la IAT ten el IMAGE_DATA_DIRECTORY, como son su RVA y Size. Con estos datos podrías moverla perfectamente. Lo que necesitas es desplazar dichas "estructuras" completamente hacia otro sitio, garantizar permisos de lectura (IT) lectura y escritura (IAT) y además debes agregar dicho desplazamiento a cada uno de los RVA de dichas estructuras. Te recomiendo leer un poco sobre el Formato PE. Te dejo unos enlaces que muy seguramente te ayudarán: Formato PE bajo Windows, está en español y lo pueden encontrar en el siguiente enlace: Código: http://foro.elhacker.net/empty-t332157.0.html O preferiblemente el documento que muchos llamamos la bíblia del Formato PE, el PECOFF que es la documentación oficial de Microsoft sobre el tema: Código: http://msdn.microsoft.com/en-us/library/windows/hardware/gg463119.aspx PD: Gran consejo MCKSys Argentina, primero debes relacionarte con el "funcionamiento". Un saludo, Iván Portilla. Título: Re: Ayuda - mover la IAT e IT Publicado por: Maurice_Lupin en 30 Mayo 2012, 04:30 am Gracias MCKSys Argentina .
Muy bueno partir en base a un programa que ya toque la IAT, desconocia de UPX, pues más me he dedicado a programar, recien me estoy informando del formato PE :( Ahora, The Swash un gusto leerte. Ya he intentado mover las tablas, en base a su RVA y Size del Data Directory, utilizo el explorer Suite, pero creo que los permisos de escritura no los he habilitado (IAT). Cuando movi la IT el programa no fallaba. La IAT es la que me da problemas. Probaré con tus sugerencias y postearé mis dudas en este hilo. Saludos y gracias. |