|
Título: Error buscando POP RET Publicado por: Lodos76 en 13 Marzo 2014, 23:56 pm Buenas a todos :).
Verán, estaba leyendo el PDF de creación de exploits 2 de Corelan cuando me veo esto: Citar Primero que todo, necesitamos saber el Opcode para el POP POP RET. Usaremos la función de ensamblado en Windbg para conseguir los Opcodes. 0:000> a 7c90120e pop eax pop eax 7c90120f pop ebp pop ebp 7c901210 ret ret 7c901211 0:000> u 7c90120e ntdll!DbgBreakPoint: 7c90120e 58 pop eax 7c90120f 5d pop ebp 7c901210 c3 ret 7c901211 ffcc dec esp 7c901213 c3 ret 7c901214 8bff mov edi,edi 7c901216 8b442404 mov eax,dword ptr [esp+4] 7c90121a cc int 3 Así que los Opcodes del POP POP RET son: 0×58, 0x5d, 0xc3. Pues nada, lo intento y esto es lo que me sale: Citar 0:010> a 7c90120e ; Sólo sale esto, así que escribo "pop eax" pop eax 7c90120e pop eax pop eax *** WARNING: Unable to verify checksum for C:\Program Files\Easy RM to MP3 Converter\RM2MP3Converter.exe ¿Y eso? No consigo encontrar un pop pop sin esto... He buscado por un sólo pop porque si con dos pop ya no lo encuentro, con uno menos... He probado a usar en Immunity Debugger !safeseh ; Busca DLLs compiladas sin safeseh !search pop r32 ; Buscar POP a un registro de 32 bits pero sólo me salen POPs de user32.dll Gracias de antemano. Título: Re: Error buscando POP RET Publicado por: .:UND3R:. en 14 Marzo 2014, 15:06 pm Puedes usar mona.py un PyCommands de Immunity debugger, byakugan plugin de WinDbg o el mismo OllyDbg, clic derecho "search for secuence of commands" y pones
POP r32 POP r32 RETN Para seguir buscando por más módulos, los vas seleccionando y luego tecleas Ctrl+L para realizar la misma búsqueda, saludos. Título: Re: Error buscando POP RET Publicado por: Lodos76 en 14 Marzo 2014, 23:16 pm Puedes usar mona.py un PyCommands de Immunity debugger, byakugan plugin de WinDbg o el mismo OllyDbg, clic derecho "search for secuence of commands" y pones POP r32 POP r32 RETN Para seguir buscando por más módulos, los vas seleccionando y luego tecleas Ctrl+L para realizar la misma búsqueda, saludos. Muchas gracias:). Con "módulos" te refieres a "DLLs", ¿no? Para verlos he puesto buscar por all modules, y puesto cualquier dirección con la DLL que quería y he clickado en "search for secuence of commands". Algo manual... No habrá alguna tool que lo haga automáticamente y te lo imprima, ¿no? xD. Salu2 Título: Re: Error buscando POP RET Publicado por: .:UND3R:. en 15 Marzo 2014, 00:00 am Lo hice hace un año atrás creo
http://foro.elhacker.net/buscador-t394411.0.html (http://foro.elhacker.net/buscador-t394411.0.html) Título: Re: Error buscando POP RET Publicado por: Lodos76 en 15 Marzo 2014, 14:44 pm Lo hice hace un año atrás creo http://foro.elhacker.net/buscador-t394411.0.html (http://foro.elhacker.net/buscador-t394411.0.html) Vaya, qué buena pinta tiene eso :P Según he podido googlear hay que compilar el plugin con MVC++, pero tu código no se corresponde con ningún lenguaje que conozca. ¿Qué hay que hacer? Título: Re: Error buscando POP RET Publicado por: .:UND3R:. en 15 Marzo 2014, 17:57 pm Vaya, qué buena pinta tiene eso :P Según he podido googlear hay que compilar el plugin con MVC++, pero tu código no se corresponde con ningún lenguaje que conozca. ¿Qué hay que hacer? Jajaja OllyScript la última versión, es un plugin que automatiza tareas |