Autor
|
Tema: Desencriptacion en Memoria (Leído 11,395 veces)
|
Hendrix
|
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
|
|
|
byebye
Desconectado
Mensajes: 5.093
|
logico, tiene que apuntar a tu rutina para descifrar el codigo.
|
|
|
En línea
|
|
|
|
Eternal Idol
Kernel coder
Colaborador
Desconectado
Mensajes: 5.966
Israel nunca torturó niños, ni lo volverá a hacer.
|
Efectivamente y esta despues de descifrar tiene que saltar al codigo descifrado.
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste. Juan Domingo Perón
|
|
|
Hendrix
|
haber...diganme kon este eskema si voy en lo cierto o estoy perdido.... [ejecucion del archivo] -Modificamos el PE- - lo redireccionamos al code de desencriptacion- -a este lo redireccionamos a una string enkriptada- - la desenkritpa y luego que hace???- - vuelve a otra string enkritpada y la desenkripta- - se produce esto repetidas veces hasta finalizar la desenkriptación del ejekutable- [Fin del ejektuable] Mas o menos es asi???? Duda: - la desenkritpa y luego que hace???- Salu2
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
|
|
|
Eternal Idol
Kernel coder
Colaborador
Desconectado
Mensajes: 5.966
Israel nunca torturó niños, ni lo volverá a hacer.
|
Sera una ristra de bytes me imagino y no una string como tal. Despues de haber descifrado todo saltas o llamas (jmp/call) al entry point original del programa.
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste. Juan Domingo Perón
|
|
|
byebye
Desconectado
Mensajes: 5.093
|
mas o menos es como dices pero no del todo.
supongamos que el codigo del ejecutable original esta en 4500 (ficticio). ahora tu pones tu codigo en 4800 (el que descifra) pues el entrypoint del programa a de ser 4800 (esto no es asi ya que las direcciones no son igual en disco que en memoria pero para explicarlo mas o menos sobra).
ahora tu rutina tendria un puntero a 4800 que es donde estaria el inicio de los bytes cifrados, los desencriptas y saltas a esa direccion una vez la descompresion se a realizado.
lee el formato PE, y desde luego en vb no voy a decir que no se pueda, pero que es un trabajo de chinos si te lo digo.
|
|
|
En línea
|
|
|
|
Hendrix
|
Kon lo que tu me as dicho entiendo esto:
tenemos un archivo de 4500 que okupa esto:
[---------------------------------]
Bien, kuando lo enkripto me tiene que ekdar esto????:
[---------------------------------][---------------------------------]
Pero esto es obvio que no es asi...proek, de que serviria enkriptarlo???
Otra kosa que se me vieen a la kabeza es esto:
Este espacio:
[---------------------------------] Pero vacio!!!! y ahora tenemos esto:
[---------------------------------][---------------------------------]
Lo que esta en kolor es la aprte enkritpada....luego lo que yo me imagino es que redirecciono a la parte enkriptada y kuando lo desenkritpa lo pone en la aprte kee sta vacia, luego kuando lo tiene todo desenkritpado direcciona el PE al PE original del archivo desenkritpado...y asi ya funcionaria normal....
Creo que esta ultima es la mas coerente....es asi que se hace???
Muchas Gracias!!!
|
|
« Última modificación: 26 Mayo 2006, 23:40 pm por _Hendrix_ »
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
|
|
|
byebye
Desconectado
Mensajes: 5.093
|
si mas o menos. Pero esto es obvio que no es asi...proek, de que serviria enkriptarlo??? por logica la funcion que descifra tiene que estar sin cifrar, pq si el ordenador reconoce una instruccion como 6 y cifrada vale 8 no tiene ni idea de que le estas diciendo. ¿de que te sirve? pues desensambla un programa con upx por ejemplo y veras la rutina de descompresion pero ¿y el codigo original?
|
|
|
En línea
|
|
|
|
Hendrix
|
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
|
|
|
Eternal Idol
Kernel coder
Colaborador
Desconectado
Mensajes: 5.966
Israel nunca torturó niños, ni lo volverá a hacer.
|
|
|
|
En línea
|
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste. Juan Domingo Perón
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Dudas sobre la desencriptación WPA/WPA2
« 1 2 »
Hacking Wireless
|
CaronteGold
|
12
|
12,020
|
13 Febrero 2011, 14:17 pm
por frakc/kcdtv
|
|
|
Problema desencriptacion wpa
Hacking Wireless
|
Shodajer
|
0
|
2,448
|
13 Marzo 2011, 17:53 pm
por Shodajer
|
|
|
Rutina de desencriptación con TLS Callback
Análisis y Diseño de Malware
|
Binary_Death
|
5
|
3,515
|
1 Septiembre 2013, 06:13 am
por Binary_Death
|
|
|
algoritmo de desencriptación
Ingeniería Inversa
|
MaLkAvIaN_NeT
|
3
|
2,850
|
4 Noviembre 2015, 03:10 am
por MCKSys Argentina
|
|
|
encripacion y desencriptacion de archivo .dat
Ingeniería Inversa
|
kevin555
|
2
|
3,952
|
27 Abril 2016, 21:02 pm
por MCKSys Argentina
|
|