tambien uso un codigo en asm de una shell
Código
[BITS 32] jmp short cmd init: mov edx,7634e695h call edx mov edx,76312acfh call edx cmd: CALL init db 'cmd',00h
al compilarlo me aparece la shell sin ningun problema cambiando las direcciones de WinExec y ExitProcess, suspuse que eso era lo que tenia que agregar en el block, asi que tambien modifique el numero del espacio en la sección, ya que habia puesto 17, y los opcodes son 26
despues de modificar eso, agregue los opcode sacados con ollydbg
Código:
CPU Disasm
Address Hex dump Command Comments
00401000 . /EB 0E JMP SHORT 00401010
00401002 $ |BA 95E63476 MOV EDX,7634E695
00401007 . |FFD2 CALL EDX
00401009 . |BA CF2A3176 MOV EDX,76312ACF
0040100E . |FFD2 CALL EDX
00401010 > \E8 EDFFFFFF CALL 00401002
00401015 . 636D 64 ARPL WORD PTR SS:[EBP+64],BP
00401018 . 00FF ADD BH,BH
Código:
EB0EBA95E63476FFD2BACF2A3176FFD2E8EDFFFFFF636D6400FF
pero al ejecutarlo, abre normalmente el block de notas pero no me aparece la shell
leyendo nuevamente el codigo de ferchu pone
Código:
codigo OPcodes
Cadena titulo "Soy el notepad y estoy infectado!!!\0"
Cadena msg "Infectado!!!\0"
call [siguiente instruccion] E8 00 00 00 00
pop eax 58
push 0 6A 00
sub eax, 0x12 2C 12
push eax 50
sub eax, 0x24 2C 24
push eax 50
push 0 6A 00
mov eax, 0x77D5050B B8 0B 05 D5 77 // B8 + direccion de MessageBoxA
call eax FF D0
mov eax, 0x010739D B8 9D 73 00 01 // B8 + entry point
jmp eax FF E0
asi que quise agregar B8 a las direcciones, pero tampoco se ejecuta la shell
Código:
EB0EBAB895E63476FFD2BAB8CF2A3176FFD2E8EDFFFFFF636D6400FF
Código:
EB0EBA-->B8<--95E63476FFD2BA-->B8<--CF2A3176FFD2E8EDFFFFFF636D6400FF
que podria estar pasando?