elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


  Mostrar Mensajes
Páginas: 1 ... 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 [20] 21 22
191  Seguridad Informática / Abril negro / Re: Ghost SMF by WHK (Proyecto solo para "Abril Negro") en: 9 Abril 2009, 01:18 am
con este post se han ensañado, ya va por las 12.000 visitas

cuando llege a las 100.000 marcaras recort si no lo has vatido ya XD
192  Programación / Ingeniería Inversa / Re: Como hacer que.. en: 8 Abril 2009, 22:09 pm
Tanbien puede cerrarse sin ExitProcess. puede usar terminateThread o ExitThread o un simple ret.

Saludos
193  Seguridad Informática / Abril negro / Re: [RET Exe Corruption] Corrompe cualquier Ejecutable en: 7 Abril 2009, 19:45 pm
jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan
194  Seguridad Informática / Abril negro / Re: Ghost SMF by WHK (Proyecto solo para "Abril Negro") en: 7 Abril 2009, 15:42 pm
Cita de: E0N en  7 Abril 2009, 15:20 pm
Felicidades por la herramienta WHK, a la gente desde luego le ha gustado mucho, ya han visto este tema 4100 personas xDD
yo pienso que lo que a pasado es, que se han picado a usar la herramienta con este post XD

saludos
195  Programación / ASM / Re: [SRC] Listar funciones de una libreria en: 5 Abril 2009, 16:40 pm
el peso de los parámetros se podría sacar mirando los mov X ,[ebp + X], pero el tipo de valor debuelto no, porque en asm esencialmente solo hay unos pocos tipos, según el tamaño y punteros.

saludos
196  Programación / Ingeniería Inversa / Re: desenpaketar driver en: 4 Abril 2009, 15:41 pm
bueno, ya lo desenpaquete gracias a las herramientas que tenis en el post de arriba

perdonen las molestias
197  Programación / Ingeniería Inversa / desenpaketar driver en: 4 Abril 2009, 15:14 pm
estoy  intentando hacer una aplicación que neutralice el deep freze. y para ello había pensado en husmear un poco al undeep freze la cosa en que viene empaquetado con el aspack y como tiene un driver dentro los unpaker me dicen que no o se quedan pillados.

Saludos
198  Programación / ASM / Re: [SRC]GetAddressFunction en: 4 Abril 2009, 02:30 am
mi code es este, es masm pero tanpoco cambia tanto.

Código
  1. 			Getproadress proc PBaseDll:dword, PNombreFun:dword
  2. 			LOCAL NumFun
  3. 			push edx
  4. 			push ecx
  5. 			push esi
  6. 			push edi
  7.  
  8.  
  9. 			mov	edx,[PBaseDll]					;Encontrar funcion pedida en la dll especificada
  10. 			cmp word ptr[edx],'ZM'
  11. 			je MZ
  12. 			cmp word ptr[edx],'MZ'
  13. 			je MZ
  14. NoPE:
  15. 			xor eax,eax
  16. 			jmp NoEncontre
  17. MZ:
  18. 			xor ecx,ecx
  19. 			add edx,[edx+3ch]
  20. 			cmp word ptr[edx],'EP'
  21. 			jne NoPE                           ;Cabecera PE
  22. 			mov edx,[edx+78h]
  23.  
  24. 			;Tabla de Exportaciones
  25. 			mov edi,[18h+edx]
  26. 			mov [NumFun],edi
  27. 			add edx,[PBaseDll]     
  28. 			mov edi,[edx+20h]                 	;AddressOfNames
  29. 			add edi,[PBaseDll]
  30. 			jmp busca
  31. NoEs:
  32. 			cmp ecx,[NumFun]
  33. 			je NoEncontre
  34. 			inc ecx
  35. 			add edi,4
  36. busca:
  37. 			mov esi,[edi]
  38. 			add esi,[PBaseDll]
  39. 			push esi
  40. 			push [PNombreFun]
  41. 			call cmpsrt
  42. 			cmp eax,0
  43. 			jne NoEs
  44. 			;                                AddressOfNameOrdinals
  45. 			mov edi,[edx+24h]
  46. 			add edi,[PBaseDll]
  47. 			rol ecx,1h
  48. 			add edi,ecx
  49. 			movzx ecx,word ptr [edi]
  50.  
  51. 			;                                AddressOfFunctions
  52. 			rol ecx,2h
  53. 			mov esi,dword ptr [edx+1ch]
  54. 			add ecx,[PBaseDll]
  55. 			add ecx, esi
  56. 			mov eax,[ecx]
  57. 			add eax,[PBaseDll]
  58. 			jmp bien
  59. NoEncontre:
  60. 			xor eax,eax
  61. bien:
  62. 			pop edi
  63. 			pop esi
  64. 			pop ecx
  65. 			pop edx
  66.  
  67. 			ret 8
  68.  
  69. 			Getproadress endp
  70.  
  71.  
  72.  
  73.  
199  Programación / ASM / Re: [SRC]GetAddressFunction en: 4 Abril 2009, 01:08 am
Cita de: YST en  4 Abril 2009, 00:28 am
Cita de: Arcangel_0x7C5 en  4 Abril 2009, 00:12 am
A y no entiendo el porque de tanto "push" y "pop"
No es mas facil hacer mov a un registro

La razón principal es que quise que se explicara un poco el code mediante las variables  y no se puede hacer un "mov  [AddressOfNames].dword[ebx+20h] " esa es la razón , aunque facilmente se pueden eliminar todas las variables.
y no se puede hacer mov de mem a mem pero creo que era mas rapido de mem a reg que hacer push mem y ala inbersa. ya te digo que yo no mido la velocidad, pero como de todas maneras tienes que pasarlo a un registro para usarlo
tengo ese code con una sola variable.

Y para explicar el code puedes poner comentarios diciendo lo que haces y a donde apunta.

En esa comunidad no somos muchos los que siempre escribimos, por eso suele haber buen nivel en lo que se postea

Saludos
200  Programación / ASM / Re: [SRC]GetAddressFunction en: 4 Abril 2009, 00:12 am
Cita de: YST en  3 Abril 2009, 04:22 am


Una forma de obtener el handle de la kernel32 ( fuente: hackhound.org ):

Código
  1.  
  2.     mov   eax, [fs:30h]
  3.     mov   eax, [eax + 0ch]
  4.     mov   esi, [eax + 1ch]
  5.     lodsd
  6.     mov  eax, [eax + 08h]

una cosa, Que es lo que hay en [fs:30h]?

Yo para sacar la base de kernel32 usaba la direccion de retorno que deja CreateProcess al pasar el control a tu programa con "call". Luego era solo cuestion de buscar "MZ" pero invertida. y ya la tienes.

A y no entiendo el porque de tanto "push" y "pop"
No es mas facil hacer mov a un registro

Saludos.

PD:Si te interesa el virin te invito a que hagas clic en el enlace de mi firma
Páginas: 1 ... 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 [20] 21 22
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines