|
273
|
Foros Generales / Foro Libre / Re: Duda Canción
|
en: 5 Julio 2014, 02:52 am
|
uno de ellos creo que era una sinfonía de "DO,RE,MI,FA,SOL,LA,SI" WOW! Y como se te ocurre que alguien pueda deducir que canción es? sinfonía de DO,RE,MI,FA,SOL,LA,SI ??? Chau, me voy a dormir..
|
|
|
275
|
Programación / ASM / Re: Problema con el PEB
|
en: 4 Julio 2014, 19:45 pm
|
Gracias EI! Eso funciona! Pero ayer lo logre solucionar asi: xor edx, edx bucle: inc edx mov esi, dword ptr[ebx] add esi, eax add ebx, 4 lea edi, [FuncionBuscada] mov ecx, 0Eh repe cmpsb jnz bucle
Igual no estoy seguro de dejarlo asi,, pasan cosas raras cuando lo depuro.. por ejemplo, a veces no funciona el lea de la linea 11, entonces saco la sección .data y pongo a "FuncionBuscada" dentro de .code y funciona, pero donde cambie algo, deja de funcionar y tengo que volver a la sección .data.. Creo que voy a tener que hacer otra pregunta, pero dentro de un rato.. cuando vea que no puedo.. Saludos! Gracias! PD: EBX ya no es mas un puntero a AddressOfFunctions (no a la ExportTable como dice tu comentario en el codigo) Gracias por la aclaracion! EDITO:Ahora quedo asi: mov esi, dword ptr[ebx + edx*4 ]
|
|
|
276
|
Programación / ASM / Problema con el PEB
|
en: 4 Julio 2014, 02:17 am
|
Buenas! Tengo el siguiente problema, estoy leyendo el peb, necesito que cada vuelta que da ese bucle, ebx se posicione sobre el nombre de la funcion exportada. Aclaro que la primer vuelta que da, ebx es correcto, apunta a ActivateActCtx cuando le sumo la direccion de kernel32 que tengo en eax ; ******************************************** ; Hasta aca, en eax tengo a kernel32.dll ; en ebx tengo la ExportTable ; ******************************************** mov edx, -1 bucle: ; Bucle para comprobar si es la función buscada inc edx ; Para saber en que posicion está la funcion mov ebx, [ebx + edx * 4] ; Direcion del nombre de la funcion buscada + Siguiente funcion add ebx, eax ; RVA->VA | add eax, Kernel32Dir mov esi, ebx ; Mover a esi la funcion actual lea edi, [FuncionBuscada] ; Mover a edi la funcion buscada mov ecx, 0Eh ; [FuncionBuscadaLen] Necesario cargarla en cada vuelta, porque se decrementa repe cmpsb ; Compara esi y edi, con una longitud de ecx jnz bucle
Codigo ensamblable: .386 .model flat, stdcall option casemap:none include windows.inc include kernel32.inc includelib kernel32.lib .data FuncionBuscada db "GetProcAddress",0 .code inicio: ; ******************************* ; Obtener Kernel32.dll ; ******************************* assume fs: nothing mov eax, fs:[30h] mov eax, [eax + 0Ch] lea eax, [eax + 0Ch] NextModule: mov eax, [eax] mov ebx, [eax + 30h] cmp byte ptr[ebx + 6*2], '3' jne NextModule mov ebx, [eax + 18h] mov eax, ebx ; EAX guarda el valor de kernel32.dll ; ******************************* ; ******************************** ; Obtener direccion de funcion ; ******************************** add ebx, [ebx + 3Ch] add ebx, 78h mov ebx, [ebx] add ebx, eax ; push ebx ; Guardamos el valor [ET] / Antes: mov [ET], eax add ebx, 20h mov ebx, [ebx] add ebx, eax ; pop ebx ; Recuperamos el valor de [ET] ; *********************************************************************** ; Hasta aca, en eax tengo a kernel32.dll, en ebx tengo la ExportTable ; *********************************************************************** mov edx, -1 bucle: ; Bucle para comprobar si es la función buscada inc edx ; Para saber en que posicion está la funcion mov ebx, [ebx + edx * 4] ; Direcion del nombre de la funcion buscada + Siguiente funcion add ebx, eax ; RVA->VA | add eax, Kernel32Dir mov esi, ebx ; Mover a esi la funcion actual lea edi, [FuncionBuscada] ; Mover a edi la funcion buscada mov ecx, 0Eh ; [FuncionBuscadaLen] Necesario cargarla en cada vuelta, porque se decrementa repe cmpsb ; Compara esi y edi, con una longitud de ecx jnz bucle invoke ExitProcess, 0 end inicio
Entiendo que el error esta en la linea 59, cuando edx vale 0, la direccion esta bien, cuando edx vale 1, la direccion salta para no se donde.. Gracias!!!
|
|
|
277
|
Seguridad Informática / Seguridad / Re: infección recurrente indetectable.
|
en: 28 Junio 2014, 01:22 am
|
Wow.. es como raro esto y cuesta creerlo.. hablas con algo de propiedad sobre el tema.. pero nos parece (creo que a todos o a casi todos) un poco exagerado.. al parecer a este individuo lo debería contratar la NSA.. Les agradezco mucho la orientación que me dieron, me quedo con el formateo a bajo nivel que ya entendí lo que es, y luego formatear la tarjeta o reemplazarla por las dudas Mejor primero limpia todas, TODAS las memorias que tengas en la vuelta, pendrive, camaras, celulares, cuaderno del año pasado... TODO y después formateas a bajo nivel. Si me decís que te infecto otra vez.. o le hacemos un monumento y que venga a enseñarnos a todos,, o realmente nos estas haciendo perder tiempo.. no has echo el log del sistema.. ya me cuesta creerte.. Saludos!
|
|
|
278
|
Seguridad Informática / Seguridad / Re: infección recurrente indetectable.
|
en: 27 Junio 2014, 01:48 am
|
me desilucioné con lo del dump, yo ya me imaginaba que iban a poder hacer un examen forense de mi equipo En el link que deje ahi hay herramientas para hacer un dump/Log y poder subirlo al foro.. ¿Abriste el link al menos? Hace ese LOG o DUMP (como mas te guste llamarlo) y postealo acá.. Saludos!
|
|
|
280
|
Seguridad Informática / Seguridad / Re: infección recurrente indetectable.
|
en: 26 Junio 2014, 01:41 am
|
Admito que después de que te pase algo así quedas a la defensiva, desconfio de hasta mi propia sombra pero me gustaria hacer el famoso dump para quedarme tranquila o para actuar en concecuencia. En realidad.. no se si vas a encontrar algo así como "herramienta dump",, me refería a poder ver un "análisis" de los puertos que están siendo utilizados en todo momento por la pc, ver los drivers que tenes instalados, ver los procesos.. ver el registro de windows.. en fin.. que podamos echar un ojo al estado de tu pc, a ver si notamos algo fuera de lo común,, quizás algún otro user sepa de alguna herramienta que haga tal cosa por vos, para no tener que hacerlo a mano (yo desconozco si existe tal cosa) en cuanto a lo de loca, por el momento no Bromeaba nomas Espero ver ese dump / Log... Suerte! EDITO: Mira.. sali del post tuyo y me cruce con este, leelo y me contas..
|
|
|
|
|
|
|