[ASM-HACK] Leyendo el PEB sin molestar AVs {2 métodos}

Iniciado por Karcrack, 11 Mayo 2012, 00:21 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario

Karcrack

11 Mayo 2012, 00:21 AM Ultima modificación: 24 Mayo 2012, 20:53 PM por Karcrack
La forma de leer el PEB habitual junto con otros factores hacía que los AVs detectasen mi binario... así pues busqué formas diferentes de leer el PEB, y esta me ha gustado especialmente. Muy ofuscada.

[FASM]
Código (asm) [Seleccionar]
  push $30     ;v
  pop  ebx     ;>EBX = 0x30
  mov  cl, 4   ;>CL  = 4

@@:mov  al, cl  ;>AL  = CL        <<<
  db   $64     ;v                  ^
  xlatb        ;>AL  = FS:[EBX+AL] ^
  shl  eax, 8  ;>EAX <<= 8         ^
  loop @B      ;>>>>>>>>>>>>>>>>>>>^ (--ECX>0)?

Está comentado para que haya la mínima duda posible. Cualquier cosa preguntad.



Añado este code que es un byte más ligero que el método habitual:
Código (asm) [Seleccionar]
       push $30
       pop  esi
       db $64
       lodsd
Saludos.

(PGP ID)

SEL1

#1
15 Mayo 2012, 17:11 PM
Interesante uso de XLAT... aunque los procesadores siguen soportando la instruction, y es rara vez utilizada (por lo menos ahora los compiladores ya no la generan). :)

hacker83

#2
21 Mayo 2012, 11:42 AM
busque y trata de leer el PEB desde C++ solo para obtener ni APPNAME.
y no lo logre, no tengo los conocimientos suficientes de asm como para entender como lo haces en asm y asi pasarlo a C.
serias tan amable de dar un ejemplo ? asi lo estudio ya que estoy interesado en aprender ASM. pero quiero dar por hecho eso de leer el process block environment de mi APP en C-

Karcrack

#3
23 Mayo 2012, 01:04 AM
Código (asm) [Seleccionar]
xor eax, eax
mov eax, [FS:EAX+$30]

Esta sería la forma normal de leer el puntero al PEB en ASM, ahora tendrías que sacar RTL_USER_PROCESS_PARAMETERS desde el PEB y luego a ImagePathName y ahí ya parsear el nombre de tu ejecutable...

(PGP ID)

karmany

#4
23 Mayo 2012, 01:42 AM
Solo me conecté hoy para darte las gracias por ese código. ¡Qué interesante!

Karcrack

#5
23 Mayo 2012, 02:01 AM
Un honor Karmany, me alegro que te haya gustado :)

(PGP ID)

MCKSys Argentina

#6
24 Mayo 2012, 19:50 PM
Muy bueno!

Ahora, pregunto: el byte 64h... para que es? para el loop?
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Karcrack

#7
24 Mayo 2012, 20:50 PM Ultima modificación: 24 Mayo 2012, 20:52 PM por Karcrack
Es el identificador del registro FS. Si lo pones delante de algunas instrucciones éstas en lugar de acceder a DS como lo harían de forma habitual acceden a FS  :)

Edit:Añado otra alternativa.

(PGP ID)

[Zero]

#8
25 Mayo 2012, 12:25 PM
Cita de: Karcrack en 11 Mayo 2012, 00:21 AM
Añado este code que es un byte más ligero que el método habitual:
Código (asm) [Seleccionar]
       push $30
       pop  esi
       db $64
       lodsd
Saludos.


Crack :P .

BlackStack

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

tena

#9
25 Mayo 2012, 13:08 PM
Muy Bueno. Si señor!
Gracias por compartir.

slds
Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario