elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ... 51
61  Programación / Programación Visual Basic / Re: modificar Fire SYSTEM Executer 1.0 [by Fire-Group] en: 19 Febrero 2008, 19:01 pm
Weno a alguien le sirvio para algo :xD

El programa por si alguien le interesa está aqui: http://foro.elhacker.net/index.php/topic,197349.0.html

Y a ver...primero aprende VB para entender el code...es un code muy sencillo, lo unico algo complicado son las APIs...

Y weno eso de que se active automaticamente mm...lo mejor es que mires como funciona y lo intentes hacer asi con tu code cogiendo lo necesario del mismo...sino te va a quedar una liada...

El método de tareas programadas es el mas facil...después el de los servicios es algo más liada pork se llama a si mismo para despues llamar de nuevo al programa...pero weno si los analizas lo entenderás...y si no lo entiendes ponte a ler algun manual de VB...

Saludos ;)
62  Programación / Programación Visual Basic / Re: MD5 de un archivo en: 19 Febrero 2008, 18:57 pm
Hay que buscar más:

http://foro.elhacker.net/index.php/topic,174141.msg828109.html

Saludos ;)
63  Programación / Ingeniería Inversa / Re: Primera instrucción de una funcion de una DLL en: 17 Febrero 2008, 06:18 am
Al final ya lo conseguí  :xD

La cuestion era: tengo el 00001900 (ese lo se obtener bien) de la funcion y le resto C00. El C00 es la diferencia entre las direcciones virtuales y las fisicas y lo obtengo restando 1000-400 (en HEX)...el 1000 es el virtual address de la primera sección y el 400 el file pointer to raw data de la primera sección. Y weno como cuando obtienes la direccion 00001900 te aparece sin la ImageBase no hace falta restarsela despues...

Weno saludos y gracias por todo ;)
64  Programación / Ingeniería Inversa / Re: Primera instrucción de una funcion de una DLL en: 15 Febrero 2008, 23:09 pm
Mira con el DUMPBIN ejecuté: dumpbin /EXPORTS zlib.dll ...aí se muestran las funciones que se exportan:

Código:
dumpbin /EXPORTS zlib.dll
Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.


Dump of file zlib.dll

File Type: DLL

  Section contains the following exports for zlib.dll

           0 characteristics
    39801DF8 time date stamp Thu Jul 27 13:33:12 2000
        0.00 version
           1 ordinal base
          84 number of functions
          61 number of names

    ordinal hint RVA      name

          1    0 00001710 adler32
          2    1 00001900 compress
         39    2 00001850 compress2
          3    3 000019A0 crc32
          4    4 00001F70 deflate
          5    5 000023A0 deflateCopy
          6    6 000022F0 deflateEnd
          7    7 00001B20 deflateInit2_
          8    8 00001AF0 deflateInit_
          9    9 00001EA0 deflateParams
         10    A 00001E20 deflateReset
         11    B 00001D20 deflateSetDictionary
         38    C 00001920 get_crc_table
         12    D 00003F50 gzclose
         13    E 000034B0 gzdopen
         34    F 00003EE0 gzeof
         14   10 00003FE0 gzerror
         15   11 00003BF0 gzflush
         30   12 00003A10 gzgetc
         41   13 00003A40 gzgets
         16   14 00003230 gzopen
         28   15 00003B30 gzprintf
         29   16 00003B90 gzputc
         40   17 00003BC0 gzputs
         17   18 000037E0 gzread
         32   19 00003E40 gzrewind
         31   1A 00003CF0 gzseek
         35   1B 000034F0 gzsetparams
         33   1C 00003EC0 gztell
         18   1D 00003AA0 gzwrite
         19   1E 00005D30 inflate
         20   1F 00005BA0 inflateEnd
         21   20 00005BF0 inflateInit2_
         22   21 00005D10 inflateInit_
         23   22 00005B50 inflateReset
         24   23 00006170 inflateSetDictionary
         25   24 00006200 inflateSync
         37   25 000062D0 inflateSyncPoint
         26   26 00008700 uncompress
         62   27 00008C60 unzClose
         72   28 000098C0 unzCloseCurrentFile
         64   29 00008CD0 unzGetCurrentFileInfo
         73   2A 00009950 unzGetGlobalComment
         63   2B 00008CA0 unzGetGlobalInfo
         76   2C 00009810 unzGetLocalExtrafield
         65   2D 000090B0 unzGoToFirstFile
         66   2E 00009100 unzGoToNextFile
         75   2F 00009180 unzLocateFile
         61   30 00008860 unzOpen
         67   31 00009270 unzOpenCurrentFile
         68   32 000095B0 unzReadCurrentFile
         74   33 000087A0 unzStringFileNameCompare
         71   34 000097E0 unzeof
         70   35 000097B0 unztell
         36   36 0000A580 zError
         84   37 0000A3A0 zipClose
         83   38 0000A0E0 zipCloseFileInZip
         80   39 000099E0 zipOpen
         81   3A 00009AB0 zipOpenNewFileInZip
         82   3B 00009FC0 zipWriteInFileInZip
         27   3C 0000A570 zlibVersion

  Summary

        2000 .data
        2000 .rdata
        1000 .reloc
        1000 .rsrc
        A000 .text


A ver, si no me equivoco aqui 00001710 sreía la direccion (en Hex) de la funcion adler32, la direccion de la funcion compress sería 00001900. Me equivoco?

Entonces si voy a la direccion 00001900 (con un editor hexadecimal por ejemplo) me encontraré ante la primera instruccion que se ejecutará con la funcion compress...me equivoco?

EDIT: Si si que me equivoco pero no se en que...a lo mejor lo que obtení no son las direcciones de las funciones no se...miré con el olly y no me coincide...

Weno dejo más detalles de la cabecera de la libreria zlib.dll, a ver si me decis aí cual sería la primera instruccion de alguna de sus funciones (para exportar):

Código:
dumpbin /HEADERS zlib.dll
Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.


Dump of file zlib.dll

PE signature found

File Type: DLL

FILE HEADER VALUES
             14C machine (i386)
               5 number of sections
        39801DF8 time date stamp Thu Jul 27 13:33:12 2000
               0 file pointer to symbol table
               0 number of symbols
              E0 size of optional header
            210E characteristics
                   Executable
                   Line numbers stripped
                   Symbols stripped
                   32 bit word machine
                   DLL

OPTIONAL HEADER VALUES
             10B magic #
            6.00 linker version
            9A00 size of code
            3800 size of initialized data
               0 size of uninitialized data
            A7B0 RVA of entry point
            1000 base of code
            B000 base of data
        10000000 image base
            1000 section alignment
             200 file alignment
            4.00 operating system version
            1.12 image version
            4.00 subsystem version
               0 Win32 version
           11000 size of image
            1000 size of headers
               0 checksum
               2 subsystem (Windows GUI)
               0 DLL characteristics
          100000 size of stack reserve
            1000 size of stack commit
          100000 size of heap reserve
            2000 size of heap commit
               0 loader flags
              10 number of directories
            BFA0 [     5D5] RVA [size] of Export Directory
            BE18 [      3C] RVA [size] of Import Directory
            F000 [     370] RVA [size] of Resource Directory
               0 [       0] RVA [size] of Exception Directory
               0 [       0] RVA [size] of Certificates Directory
           10000 [     264] RVA [size] of Base Relocation Directory
               0 [       0] RVA [size] of Debug Directory
               0 [       0] RVA [size] of Architecture Directory
               0 [       0] RVA [size] of Special Directory
               0 [       0] RVA [size] of Thread Storage Directory
               0 [       0] RVA [size] of Load Configuration Directory
               0 [       0] RVA [size] of Bound Import Directory
               0 [       0] RVA [size] of Import Address Table Directory
               0 [       0] RVA [size] of Delay Import Directory
               0 [       0] RVA [size] of Reserved Directory
               0 [       0] RVA [size] of Reserved Directory


SECTION HEADER #1
   .text name
    982A virtual size
    1000 virtual address
    9A00 size of raw data
     400 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
60000020 flags
         Code
         Execute Read

SECTION HEADER #2
  .rdata name
    1575 virtual size
    B000 virtual address
    1600 size of raw data
    9E00 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only

SECTION HEADER #3
   .data name
    189C virtual size
    D000 virtual address
    1600 size of raw data
    B400 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
C0000040 flags
         Initialized Data
         Read Write

SECTION HEADER #4
   .rsrc name
     370 virtual size
    F000 virtual address
     400 size of raw data
    CA00 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only

SECTION HEADER #5
  .reloc name
     2AE virtual size
   10000 virtual address
     400 size of raw data
    CE00 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
42000040 flags
         Initialized Data
         Discardable
         Read Only

  Summary

        2000 .data
        2000 .rdata
        1000 .reloc
        1000 .rsrc
        A000 .text

Saludos y gracias ;)
65  Programación / Programación Visual Basic / Re: Inyeccion para crashear procesos en: 15 Febrero 2008, 21:11 pm
Cita de: ►Freeze en 15 Febrero 2008, 18:39 pm
A mi no me funciona sin Dim DLL :P Pero en modo depuracion ;)

Porque estando compilada la aplicacion si funciona :P

Por cierto que el nod32 me reincia :xD

Am ok jaja, no sabia que compilado si funcionaba...aun asi k koca mas rara no? que en modo depuracion no vaya sin el Dim DLL ese... por si acaso lo voy a dejar que total no molesta :xD

Saludos ;)
66  Programación / Programación Visual Basic / Re: Inyeccion para crashear procesos en: 15 Febrero 2008, 16:45 pm
Jeje a ver ese code si mal no me equivoco es de Hendrix no de E0N...

Yo no habé de ningun code de E0N, yo te pase un code por MSN, asi en la ventana del MSN a pelo :xD , despues fue cuando me empezaste a hablar del code de Hendrix, pero tu te referias a otro, el de la DLL...

Weno eso no es la cuestion, el tema es que tu dices que hay que inyectar aunke aunke sea esa variable declarada, pero si te fijas y si no me equivoco lo que inyectas es la variable Hendrix, la variable DLL solo la declaras y no la inyectas...entonces para que declararla si no se usa? sin embargo si la quitas no funciona el code...eso es lo que no entiendo...

Weno tambien tengo que decir que el code es un poco "sensible"...si intento modificarlo un poco a veces deja de ir...

por ejemplo intenté poner un For en la funcion y PID en vez de ser un Long es una matriz de Longs...algo así para que nos etendamos:

Código
  1. Private Sub CrashProcesos(ByRef PID() As Long)
  2. Dim proc As Long
  3. Dim nload As Long
  4. Dim rems As Long
  5. Dim i as Long
  6. Dim DLL
  7.  
  8. Hendrix = "Crash"
  9.  
  10. For i = LBound(PID) to UBound(PID)
  11. proc = OpenProcess(PROCESS_ALL_ACCESS, 0, PID(i))
  12. nload = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA")
  13. rems = VirtualAllocEx(proc, 0, Len(Hendrix), MEM_COMMIT, PAGE_READWRITE)
  14. WriteProcessMemory proc, ByVal rems, Hendrix, Len(Hendrix), 0
  15. CreateRemoteThread proc, 0, 0, nload, rems, 0, 0
  16. CloseHandle proc
  17. Next i
  18. End
  19. End Sub

Y ahora lo que le paso es una matriz PID que contiene los PIDs que quiero terminar, pues ya no funciona...sin embargo, si quito el For, aunke use PID como una matriz el proceso si crasheara, aunke logicamente solo el primer elemento de la matriz pork al no haber For solo se ejecutará una vez el code con i igual a 0...

Pero weno esto tiene solucion poniendo el For a la hora de llamar a la funcion, es decir llamar a la funcion varias veces...sin modificar la funcion original y en vez de pasar matrices paso el PID que quiro crashear, simplemente que tengo que llamar varias veces a la funcion, asi si funciona...

Weno esto era solo para decir que la funcion era algo sensible y se comporta un poco rarita pero weno ya la consegui acoplarla de manera funcional...pero me intriga la variable esa DLL :xD

Gracias y saludos ;)
67  Programación / Programación Visual Basic / Re: Inyeccion para crashear procesos en: 15 Febrero 2008, 16:05 pm
Boh ya se que era...

A ver Tughack tu te acuerdas que en un principio te pasara un code...ese era el que puso E0N aki pero un poco modificado, la cuestion es que al codigo que puso E0N aí (el que te pasara yo) si quitas la variable DLL, esa que aí esta declarada como Variant y aparentemente no hace nada, pues resulta que si la quitas el code no funciona...y yo como vi que no aparecia por ningun lado la habia quitado y no funcionaba...

Ahora explicadme una cosa...esa variable DLL si solo está declarada y no se utiliza apra nada pork está aí y si no la pones no crashean los procesos?? que cosa mas rara...pork pasa eso?

Saludos ;)
68  Programación / Ingeniería Inversa / Re: Primera instrucción de una funcion de una DLL en: 14 Febrero 2008, 22:39 pm
Perfectamente explicado muchas gracias ya entiendo (así da gusto preguntar ;D ) :D

Voy a intentar hacer un code que me devuelva las direcciones, si tengo cualquier problema ya lo pongo...

Muchas gracias :D saludos ;)
69  Programación / Programación Visual Basic / Re: Inyeccion para crashear procesos en: 14 Febrero 2008, 22:36 pm
mmm y como podría hacer para que petara?

había un code en antifahack que por lo menos antes me funcionaba...pero ahora como antifahack ha caido :-( ...que a pasado por cierto?

weno gracias y saludos ;)
70  Programación / Programación Visual Basic / Inyeccion para crashear procesos en: 14 Febrero 2008, 20:05 pm
Weno pues hablando asi con Tughack nos surgio el tema de crashear procesos inyectando en su memoria...me dijo que con el code de Hendrix para inyectar DLL en procesos si intentas inyectar DLLs que no existen (una ruta falsa) los procesos crasheaban...sin embargo a mi no me funciona y el volvio a probar y tampoco le funcionó...el code por si alguien no sabe es este:

http://foro.elhacker.net/index.php/topic,168272.0.html

Alguien lo ha probado? alguien sabe como crashear un proceso inyectando en su memoria??

Weno a ver si alguien sabe algo de este tema...saludos ;)
Páginas: 1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ... 51
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines