elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Crear un PE Editor simple..		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Crear un PE Editor simple..  (Leído 12,843 veces)
demoniox12

Desconectado Desconectado

Mensajes: 204


El conocimiento es poder


Ver Perfil WWW
Crear un PE Editor simple..
« en: 27 Septiembre 2008, 20:57 pm »
Hola! estuve buscando algun ejemplo o algo pero no encontre ninguno en vb.. alguno tiene por ahi algun ejemplo? o alguien que me guie para iniciar nomas..

salu2! y gracias de antemano!
En línea
By Demoniox
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #1 en: 28 Septiembre 2008, 01:33 am »
Es muy simple, lees el archivo, rellenas las estructuras PE y las muestras. Alguna duda concreta?
En línea
demoniox12

Desconectado Desconectado

Mensajes: 204


El conocimiento es poder


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #2 en: 28 Septiembre 2008, 03:03 am »
Cita de: E0N en 28 Septiembre 2008, 01:33 am
Es muy simple, lees el archivo, rellenas las estructuras PE y las muestras. Alguna duda concreta?

de que manera se abre el archivo para mostrar por ejemplo el imagebase?
y de que manera se guarda el archivo para guardar el imagebase modificado?

salu2!

PD: luego si puedo terminarlo publico el source..
« Última modificación: 28 Septiembre 2008, 03:07 am por demoniox12 » En línea
By Demoniox
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #3 en: 28 Septiembre 2008, 15:24 pm »
Pues en modo binario, lo lees y rellenas las estructuras con CopyMemory, hay varios ejemplos por el foro ;) Luego guardas las estructuras modificadas y listo (te recomiendo que mapees el archivo)

Salu2
En línea
demoniox12

Desconectado Desconectado

Mensajes: 204


El conocimiento es poder


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #4 en: 29 Septiembre 2008, 02:53 am »
http://rapidshare.com/files/149246470/PE.rar.html

he llegado hasta ahi.. con cosas que encontre y fui modificando.. pero no me guarda bien la modificacion y no logro hacerlo andar bien.. alguno puede ayudarme? puse para probar con imagebase nomas

salu2!
En línea
By Demoniox
achernar_

Desconectado Desconectado

Mensajes: 117



Ver Perfil
Re: Crear un PE Editor simple..
« Respuesta #5 en: 30 Septiembre 2008, 09:56 am »
No funciona leyendo el archivo en modo binario, porque si, por ejemplo, queres  explorar la estructura del formato PE para acceder a las Tablas de importacion para conocer las direcciones de memoria de las apis que llama el programa no vas a poder. Porque estas direcciones se cargan en memoria antes de que el programa empiece a correr. Para explorarlo y modificarlo hay que hacerlo mienntras el programa esta funcionando.

Te recomiendo este texto:

http://goodfellas.shellcode.com.ar/docz/bof/UN-shellcodes_1.txt

y para explorar la memoria de un programa en funcionamiento hice este codigo de un programa que explora su propia memoria, para no tener que hacer una "DLL Injection" ni nada parecido.

Código:
'PEGAR EN UN FORMULARIO Form1
'el proyecto necesita los siguientes componentes:
'un textbox Text1 para ingresar la direccion de memoria que se quiere leer
'(&H400000 seria la Direccion Base de la Imagen)
'un textbox Text2 para ingresar la cantidad de bytes a leer
' "    "    Text3 para mostrar los bytes en Hexadecimal (Font = Fixedsys)
'                 (Font = Fixedsys, Multiline = True, ScrollBars = 2-Vertical)
' "    "    Text4 para mostrar los bytes en Ascii
'                 (Font = Fixedsys, Multiline = True, ScrollBars = 2-Vertical)
'un boton Comman1 para iniciar la lectura
'
'   los bytes en Ascii no se ven bien por los caracteres no imprimibles, como
'   el retorno de carro, el tab, y el salto de linea.

Option Explicit

Private Const PROCESS_ALL_ACCESS = &H1F0FFF

Private Declare Function GetCurrentProcessId Lib "kernel32" () As Long
Private Declare Function OpenProcess Lib "Kernel32.dll" (ByVal dwDesiredAccessas As Long, _
                                                         ByVal bInheritHandle As Long, _
                                                         ByVal dwProcId As Long) As Long
Private Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, _
                                                           ByVal lpBaseAddress As Any, _
                                                           lpBuffer As Any, _
                                                           ByVal nSize As Long, _
                                                           lpNumberOfBytesWritten As Long) As Long

Private Sub Command1_Click()
    LeerMemoria Text3, Text4, CLng(Trim$(Text1.Text)), CLng(Text2.Text)
End Sub

Private Sub LeerMemoria(T_Hex As TextBox, T_Ascii As TextBox, Direccion As Long, CantidadDeBytes As Long)
    Dim PID                             As Long
    Dim hProc                           As Long
    ReDim Buffer(1 To CantidadDeBytes) As Byte
    Dim ret                             As Long
    Dim Contador                        As Long
    Dim i                               As Long
    Dim ByteX                           As String
    
    PID = GetCurrentProcessId
    hProc = OpenProcess(PROCESS_ALL_ACCESS, False, PID)
    ReadProcessMemory hProc, Direccion, Buffer(1), CantidadDeBytes, ret
    
    T_Hex.Text = vbNullString
    T_Ascii.Text = vbNullString
    Contador = 0
    
    For i = 1 To CantidadDeBytes
        Contador = Contador + 1
        ByteX = Hex$(Buffer(i))
        If Len(ByteX) = 1 Then ByteX = "0" + ByteX
        T_Hex.Text = T_Hex.Text + ByteX + " "
        T_Ascii.Text = T_Ascii.Text + Chr$(Buffer(i))
        If Contador = 16 Then
            T_Hex.Text = T_Hex.Text + vbCrLf
            T_Ascii.Text = T_Ascii.Text + vbCrLf
            Contador = 0
        End If
    Next i
    
End Sub

Private Sub Form_Load()
Text1.Text = "&H400000"
Text2.Text = "100"
Command1.Caption = "Leer Memoria"
Text4.Text = vbNullString
Text5.Text = vbNullString
End Sub


Agregue, en cierta ocacion, una llamada a la api MessageBoxA para ver si podia obtener la direccion de mememoria de la funcion en la tabla de importacion, para poder cambiarla pero ni siquiera la encontré. VB hace cosas que supongo extraña, en la tabla solo encontre librerias de VB y nada mas. ¿Alguien sabe como llegar a obtener esas direcciones? seria una especie de intento por hacer "API Hooking" modificando la tabla de importacion con VB.

Por ahora demoniox12 te adelanto que si lees los primeros bytes a partir de la direccion &H40003c vas a encontrar la direccion de memoria donde empieza la cabecera PE, y 80 bytes mas adelante de la direccion donde empieza la cabecera PE esta almacenada la direccion donde empiezan las iTables (Tablas de Importacion), importantes en temas como Api Hooking y Shellcodes Universales.

Lamentablemente creo que no hay muchos expertos en estos temas en el foro de VB6, no es por ofender a nadie, seguro que hay gente que sabe y mucho de esto, pero no creo que sean muchos por aca. Debe haber mas en los que frecuentan foros de de C o Malware, pero en esos casos vi que a gente que habla de VB los tratan como si habaran de resolver matrices con un ábaco.
En línea
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #6 en: 30 Septiembre 2008, 12:51 pm »
Citar
No funciona leyendo el archivo en modo binario, porque si, por ejemplo, queres  explorar la estructura del formato PE para acceder a las Tablas de importacion para conocer las direcciones de memoria de las apis que llama el programa no vas a poder.

Si, si que se puede, a ver si te crees que se cargan en posiciones de memoria aleatorias xDD Luego hablamos de eso :P

Primero una demostración de lo que pide el amigo demoniox12:

En un form:
Código
  1. Private Sub Form_Load()
  2.     RellenarPE ("C:\pru.exe")
  3.     MsgBox Hex(inh.OptionalHeader.ImageBase)
  4.     End
  5. End Sub

En un módulo:
Código
  1. Option Explicit
  2.  
  3. Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Dest As Any, Src As Any, ByVal L As Long)
  4.  
  5. Private Enum ImageSignatureTypes
  6.     IMAGE_DOS_SIGNATURE = &H5A4D     ''\\ MZ
  7.     IMAGE_OS2_SIGNATURE = &H454E     ''\\ NE
  8.     IMAGE_OS2_SIGNATURE_LE = &H454C  ''\\ LE
  9.     IMAGE_VXD_SIGNATURE = &H454C     ''\\ LE
  10.     IMAGE_NT_SIGNATURE = &H4550      ''\\ PE\0\0
  11. End Enum
  12.  
  13. Private Type IMAGE_DOS_HEADER
  14.     e_magic As Integer        ' Magic number
  15.     e_cblp As Integer         ' Bytes on last page of file
  16.     e_cp As Integer           ' Pages in file
  17.     e_crlc As Integer         ' Relocations
  18.     e_cparhdr As Integer      ' Size of header in paragraphs
  19.     e_minalloc As Integer     ' Minimum extra paragraphs needed
  20.     e_maxalloc As Integer     ' Maximum extra paragraphs needed
  21.     e_ss As Integer           ' Initial (relative) SS value
  22.     e_sp As Integer           ' Initial SP value
  23.     e_csum As Integer         ' Checksum
  24.     e_ip As Integer           ' Initial IP value
  25.     e_cs As Integer           ' Initial (relative) CS value
  26.     e_lfarlc As Integer       ' File address of relocation table
  27.     e_ovno As Integer         ' Overlay number
  28.     e_res(0 To 3) As Integer  ' Reserved words
  29.     e_oemid As Integer        ' OEM identifier (for e_oeminfo)
  30.     e_oeminfo As Integer      ' OEM information; e_oemid specific
  31.     e_res2(0 To 9) As Integer ' Reserved words
  32.     e_lfanew As Long          ' File address of new exe header
  33. End Type
  34.  
  35. ' MSDOS File header
  36. Private Type IMAGE_FILE_HEADER
  37.     Machine As Integer
  38.     NumberOfSections As Integer
  39.     TimeDateStamp As Long
  40.     PointerToSymbolTable As Long
  41.     NumberOfSymbols As Long
  42.     SizeOfOptionalHeader As Integer
  43.     characteristics As Integer
  44. End Type
  45.  
  46. ' Directory format.
  47. Private Type IMAGE_DATA_DIRECTORY
  48.     VirtualAddress As Long
  49.     Size As Long
  50. End Type
  51.  
  52. ' Optional header format.
  53. Const IMAGE_NUMBEROF_DIRECTORY_ENTRIES = 16
  54.  
  55. Private Type IMAGE_OPTIONAL_HEADER
  56.     ' Standard fields.
  57.     Magic As Integer
  58.     MajorLinkerVersion As Byte
  59.     MinorLinkerVersion As Byte
  60.     SizeOfCode As Long
  61.     SizeOfInitializedData As Long
  62.     SizeOfUnitializedData As Long
  63.     AddressOfEntryPoint As Long
  64.     BaseOfCode As Long
  65.     BaseOfData As Long
  66.     ' NT additional fields.
  67.     ImageBase As Long
  68.     SectionAlignment As Long
  69.     FileAlignment As Long
  70.     MajorOperatingSystemVersion As Integer
  71.     MinorOperatingSystemVersion As Integer
  72.     MajorImageVersion As Integer
  73.     MinorImageVersion As Integer
  74.     MajorSubsystemVersion As Integer
  75.     MinorSubsystemVersion As Integer
  76.     W32VersionValue As Long
  77.     SizeOfImage As Long
  78.     SizeOfHeaders As Long
  79.     CheckSum As Long
  80.     SubSystem As Integer
  81.     DllCharacteristics As Integer
  82.     SizeOfStackReserve As Long
  83.     SizeOfStackCommit As Long
  84.     SizeOfHeapReserve As Long
  85.     SizeOfHeapCommit As Long
  86.     LoaderFlags As Long
  87.     NumberOfRvaAndSizes As Long
  88.     DataDirectory(0 To IMAGE_NUMBEROF_DIRECTORY_ENTRIES - 1) As IMAGE_DATA_DIRECTORY
  89. End Type
  90.  
  91. Private Type IMAGE_NT_HEADERS
  92.     Signature As Long
  93.     FileHeader As IMAGE_FILE_HEADER
  94.     OptionalHeader As IMAGE_OPTIONAL_HEADER
  95. End Type
  96.  
  97. ' Section header
  98. Const IMAGE_SIZEOF_SHORT_NAME = 8
  99.  
  100. Private Type IMAGE_SECTION_HEADER
  101.    SecName As String * IMAGE_SIZEOF_SHORT_NAME
  102.    VirtualSize As Long
  103.    VirtualAddress  As Long
  104.    SizeOfRawData As Long
  105.    PointerToRawData As Long
  106.    PointerToRelocations As Long
  107.    PointerToLinenumbers As Long
  108.    NumberOfRelocations As Integer
  109.    NumberOfLinenumbers As Integer
  110.    characteristics  As Long
  111. End Type
  112.  
  113. Public ByteArray() As Byte                  ' Byte array del archivo a leer
  114. Public TempArray() As Byte                  ' Array temporal para reducir el ByteArray
  115. Public Config()    As Byte                  ' La posible configuración del archivo leido
  116. Public idh         As IMAGE_DOS_HEADER      ' Cabeceras
  117. Public inh         As IMAGE_NT_HEADERS
  118. Public ish()       As IMAGE_SECTION_HEADER
  119.  
  120.  
  121. Sub RellenarPE(Ruta As String)
  122.  
  123.     Open Ruta For Binary As #1
  124.       ReDim ByteArray(LOF(1) - 1)
  125.       Get #1, , ByteArray
  126.     Close #1
  127.  
  128.     ' Leemos el MS-DOS stub
  129.     CopyMemory idh, ByteArray(0), Len(idh)
  130.     If idh.e_magic <> IMAGE_DOS_SIGNATURE Then
  131.        MsgBox "Formato PE no válido", vbCritical, "Small Crypter"
  132.        Exit Sub
  133.     End If
  134.  
  135.     ' Leemos a partir del PE\0\0 comletando a su vez:
  136.     '   -> IMAGE_FILE_HEADER     (COFF File Header)
  137.     '   -> IMAGE_OPTIONAL_HEADER (Optional  Header)
  138.     CopyMemory inh, ByteArray(idh.e_lfanew), Len(inh)
  139.     If inh.Signature <> IMAGE_NT_SIGNATURE Then
  140.        MsgBox "Formato PE no válido", vbCritical, "Small Crypter"
  141.        Exit Sub
  142.     End If
  143.  
  144.     ' Leemos las distintas secciones
  145.     Dim i As Integer
  146.     ReDim ish(inh.FileHeader.NumberOfSections - 1)
  147.     For i = 0 To inh.FileHeader.NumberOfSections - 1
  148.         Call CopyMemory(ish(i), ByteArray(idh.e_lfanew + Len(inh) + Len(ish(i)) * i), Len(ish(i)))
  149.     Next i
  150.  
  151. End Sub

Verás que te muestra en un msgbox el image base del archivo C:\pru.exe, para hacer el editor simplemente muestra los distintos datos en text boxes y luego guarda los valores modificados en un nuevo archivo.


achernar_

Citar
Agregue, en cierta ocacion, una llamada a la api MessageBoxA para ver si podia obtener la direccion de mememoria de la funcion en la tabla de importacion, para poder cambiarla pero ni siquiera la encontré. VB hace cosas que supongo extraña, en la tabla solo encontre librerias de VB y nada mas. ¿Alguien sabe como llegar a obtener esas direcciones? seria una especie de intento por hacer "API Hooking" modificando la tabla de importacion con VB.

IAT hooking, un ejemplo en C:
http://hackhound.org/forum/index.php?topic=2726.0

Puedes ver como obtiene las direcciones en la iat y de más, otro ejemplo en C:
http://foro.elhacker.net/programacion_cc/source_recorrer_la_iat-t208200.0.html;msg989316

Si te interesan las shellcodes universales esto te será útil, en mi ejemplo lo uso para demostrar como un virus puede llamar a las apis, pero para el caso es lo mismo (y también ves como obtener la posición en memoria de las apis a partir del formato PE, fasm):
http://foro.elhacker.net/analisis_y_diseno_de_malware/source_asm_asi_llaman_los_virus_a_las_apis-t219982.0.html;msg1044189

Y ahora mismo o caigo en más ejemplos, pero ahí puedes ver como obtener la dirección en memoria de un api a partir del PE (aunque si puedes usar GetProcAddres desde el principio pues eso que te ahorras jajajajaja)

Salu2
« Última modificación: 30 Septiembre 2008, 12:54 pm por E0N » En línea
demoniox12

Desconectado Desconectado

Mensajes: 204


El conocimiento es poder


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #7 en: 1 Octubre 2008, 02:03 am »
Excelente! muchisimas gracias!!!

Salu2!
« Última modificación: 1 Octubre 2008, 02:43 am por demoniox12 » En línea
By Demoniox
achernar_

Desconectado Desconectado

Mensajes: 117



Ver Perfil
Re: Crear un PE Editor simple..
« Respuesta #8 en: 1 Octubre 2008, 16:16 pm »
EON seguro que no se cargan en direcciones aleatorias, pero las direcciones que se cargan en la tabla de importacion (las de las apis que usa el programa) son diferentes en diferentes versiones de windows. Si el mismo programa lo ejecutas en un windows XP sp1 y despues lo ejecutas en un Windows XP sp2 o en español e inglés, la tabla de importacion se va a cargar con diferentes valores, porque en diferentes versiones de windows las direcciones de las apis varian, este es el problema precisamente al intentar encontrar las direccines de las apis cuando se usa una shellcode. Los valores de estas direcciones no pueden ser modificados en el binario, precisamente porque se cargan al ejecutarse el programa, en direcciones, que como dicìs, no son aleatorias.

Con respecto al formato PE y las shelcodes universales lo hice con el masm32 y lo entiendo, con el texto de RaiSe pero la tabla de importacion de los programas en VB son el problema, solo los hechos en VB son como extraños, incluso para hacer practicas de craking son rebuscados, son distintos. Por lo menos asi lo veo yo XDDDD sobre todo por ese modo que tiene de usar las apis, como eso de reventarse cuando usan threads en vb6, evidentemente no hace un uso normal de las apis.

Si los valores (direcciones de las apis) en la tabla de importacion fuesen valores estaticos y se pudiesen leer en el binario directamente, serian como las shellcodes hardcodeadas, no se pordrian "Portar los Ejecutables" a otras versiones de windows.
« Última modificación: 1 Octubre 2008, 16:31 pm por achernar_ » En línea
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Crear un PE Editor simple..
« Respuesta #9 en: 1 Octubre 2008, 17:21 pm »
Ya, ya se todo lo que me estás diciendo y por eso te he puesto los ejemplos que te he puesto, mira mi ejemplo en fasm y pruebalo en distintos windows y verás como no falla y no es hardcode :P haya la dirección de las apis a partir de su posición en la tabla de importaciones (realmente haya la posición de GetProcAddress y de ahñi saca el resto más rápidamente, aunque se podrían sacar todas así ;))

VB lo único raro que puede tener es que aparte de las dll que contienen las apis propias del SO tiene su propia dll de donde saca todas las funciones, ya que un MsgBox no es lo mismo que MessageBoxA :P

Salu2
En línea
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Algun editor de videos simple (Novato)
Multimedia 		Dacan 4 5,314 Último mensaje 14 Marzo 2011, 22:52 pm
por Dacan
Crear un simple hack ayuda!!
Windows 		bxanditox 4 4,749 Último mensaje 25 Enero 2012, 23:10 pm
por bxanditox
como crear un bot simple???
Programación General 		bolbal 0 2,429 Último mensaje 26 Enero 2013, 00:20 am
por bolbal
Crear un bot de navegacion simple
Programación General 		buenoacaestamos 5 3,247 Último mensaje 4 Marzo 2015, 00:45 am
por T. Collins
Crear un mensaje simple en pantalla en javascript? « 1 2 »
Desarrollo Web 		RevolucionVegana 10 7,082 Último mensaje 5 Enero 2016, 21:49 pm
por RevolucionVegana
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines