elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Desencriptacion en Memoria
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: Desencriptacion en Memoria  (Leído 11,478 veces)
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #10 en: 26 Mayo 2006, 21:52 pm »

Ok...esto me lo puedo empollar yo solo...pero una vez sepa modifikar el PE, hacia donde lo ago apuntar???? :-\ :-\ :-\ supongo que a la funcin de desenkriptacion no, o si???stoy algo perdido... :-\ :-\ :-\

Saly2 y reitero las gracias... ;) ;)



En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: Desencriptacion en Memoria
« Respuesta #11 en: 26 Mayo 2006, 22:02 pm »

logico, tiene que apuntar a tu rutina para descifrar el codigo.


En línea

Eternal Idol
Kernel coder
Colaborador
***
Desconectado Desconectado

Mensajes: 5.969


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #12 en: 26 Mayo 2006, 22:17 pm »

Efectivamente y esta despues de descifrar tiene que saltar al codigo descifrado.
En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #13 en: 26 Mayo 2006, 22:49 pm »

haber...diganme kon este eskema si voy en lo cierto o estoy perdido....

[ejecucion del archivo]
-Modificamos el PE-
- lo redireccionamos al code de desencriptacion-
-a este lo redireccionamos a una string enkriptada-
- la desenkritpa y luego que hace???-
- vuelve a otra string enkritpada y la desenkripta-
- se produce esto repetidas veces hasta finalizar la desenkriptación del ejekutable-
[Fin del ejektuable]

Mas o menos es asi????

Duda: - la desenkritpa y luego que hace???-

 :-\ :-\ :-\

Salu2

En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Eternal Idol
Kernel coder
Colaborador
***
Desconectado Desconectado

Mensajes: 5.969


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #14 en: 26 Mayo 2006, 22:53 pm »

Sera una ristra de bytes me imagino y no una string como tal. Despues de haber descifrado todo saltas o llamas (jmp/call) al entry point original del programa.
En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: Desencriptacion en Memoria
« Respuesta #15 en: 26 Mayo 2006, 23:23 pm »

mas o menos es como dices pero no del todo.

supongamos que el codigo del ejecutable original esta en 4500 (ficticio). ahora tu pones tu codigo en 4800 (el que descifra) pues el entrypoint del programa a de ser 4800 (esto no es asi ya que las direcciones no son igual en disco que en memoria pero para explicarlo mas o menos sobra).

ahora tu rutina tendria un puntero a 4800 que es donde estaria el inicio de los bytes cifrados, los desencriptas y saltas a esa direccion una vez la descompresion se a realizado.


lee el formato PE, y desde luego en vb no voy a decir que no se pueda, pero que es un trabajo de chinos si te lo digo.

En línea

Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #16 en: 26 Mayo 2006, 23:32 pm »

Kon lo que tu me as dicho entiendo esto:

tenemos un archivo de 4500 que okupa esto:

[---------------------------------]

Bien, kuando lo enkripto me tiene que ekdar esto????:

[---------------------------------][---------------------------------]

Pero esto es obvio que no es asi...proek, de que serviria enkriptarlo???

Otra kosa que se me vieen a la kabeza es esto:

Este espacio:

[---------------------------------] Pero vacio!!!! y ahora tenemos esto:


[---------------------------------][---------------------------------]

Lo que esta en kolor es la aprte enkritpada....luego lo que yo me imagino es que redirecciono a la parte enkriptada y kuando lo desenkritpa lo pone en la aprte kee sta vacia, luego kuando lo tiene todo desenkritpado direcciona el PE al PE original del archivo desenkritpado...y asi ya funcionaria normal....

Creo que esta ultima es la mas coerente....es asi que se hace???

Muchas Gracias!!!

« Última modificación: 26 Mayo 2006, 23:40 pm por _Hendrix_ » En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: Desencriptacion en Memoria
« Respuesta #17 en: 27 Mayo 2006, 00:43 am »

si mas o menos.

Citar
Pero esto es obvio que no es asi...proek, de que serviria enkriptarlo???

por logica la funcion que descifra tiene que estar sin cifrar, pq si el ordenador reconoce una instruccion como 6 y cifrada vale 8 no tiene ni idea de que le estas diciendo. ¿de que te sirve? pues desensambla un programa con upx por ejemplo y veras la rutina de descompresion pero ¿y el codigo original?
En línea

Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #18 en: 27 Mayo 2006, 11:05 am »

ok ok...ya lo entendi.... ;D ;D ;D ;D muchas gracias!!!!

Ahora solo me falta saber komo manejar el PE....me podriais dar alguna funcion que lo haga???? despues yo ya buskare como se utiliza y esto....y tendre que escribir en memoria, no??? puesto que tendre que redireccionar el PE mientras se esta ejekutando.... :-\ :-\ :-\

Salu2 y Gracias...
En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Eternal Idol
Kernel coder
Colaborador
***
Desconectado Desconectado

Mensajes: 5.969


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: Desencriptacion en Memoria
« Respuesta #19 en: 27 Mayo 2006, 11:25 am »

http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx
En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
Páginas: 1 [2] 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Dudas sobre la desencriptación WPA/WPA2 « 1 2 »
Hacking Wireless
CaronteGold 12 12,080 Último mensaje 13 Febrero 2011, 14:17 pm
por frakc/kcdtv
Problema desencriptacion wpa
Hacking Wireless
Shodajer 0 2,478 Último mensaje 13 Marzo 2011, 17:53 pm
por Shodajer
Rutina de desencriptación con TLS Callback
Análisis y Diseño de Malware
Binary_Death 5 3,542 Último mensaje 1 Septiembre 2013, 06:13 am
por Binary_Death
algoritmo de desencriptación
Ingeniería Inversa
MaLkAvIaN_NeT 3 2,883 Último mensaje 4 Noviembre 2015, 03:10 am
por MCKSys Argentina
encripacion y desencriptacion de archivo .dat
Ingeniería Inversa
kevin555 2 4,023 Último mensaje 27 Abril 2016, 21:02 pm
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines