Buenas tardes ;D
Hoy os presento este metodo de 'corrupcion' de ejecutables. Desde que vi el metodo que posteo Mad estuve pensando:
http://foro.elhacker.net/analisis_y_diseno_de_malware/metodo_ifeo_bug_image_file_execution_options-t249670.0.html
Este metodo modifica el ejecutable para que nada mas abrirse se cierre, agregando un RET al pimer byte ejecutado.Que tiene de especial?
- Solo modifica un Byte
- Trabaja con el PE
Problemas? Solo uno:
- Necesitas permisos de escritura en el fichero, si esta abierto no podras...
Pasos a seguir para aplicar este metodo:
- Se obtiene el Entry Point RVA del fichero
- Se pasa a RAW
- Se reemplaza el primer BYTE por un RET (C3h)
Aqui teneis el codigo en VB:
http://foro.elhacker.net/programacion_vb/sourceret_exe_corruption_corrompe_cualquier_ejecutable-t251138.0.html;msg1211626#msg1211626
Saludos ;)
jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan
Cita de: Arcangel_0x7C5 en 7 Abril 2009, 19:45 PM
jeje para romperlo no hace falta calentarse la cabeza, pero claro. Así no parece tan roto y de paso aprendes como funcionan
Cierto, para cargarselo con cambiar algunas valores que no hay que tocar sobra... se me olvido decir que:
Lo 'corrompe' sin mostrar ningun error :laugh: :laugh: :laugh:
Sirve igual si haces un #Put en el primer byte, que por norma es la letra "M" y listos. Todo fichero PE empieza con los carácteres "MZ" al inicio. Pero de igual forma buena tool
:)
Cita de: ||MadAntrax|| en 7 Abril 2009, 19:58 PM
Sirve igual si haces un #Put en el primer byte, que por norma es la letra "M" y listos. Todo fichero PE empieza con los carácteres "MZ" al inicio. Pero de igual forma buena tool
:)
El problema es que pierde el icono y sale esa fea pantalla negra :xD
Con este metodo no sale nada...
En realidad no lo corrompe, cambias el código pero el programa funciona, sólo que retorna al ser arrancado :xD.
Saludos