Como sobrescribir la sección .text de un EXE para poner alli un virus???

Iniciado por harry_the_blogger, 25 Agosto 2014, 23:29 PM

0 Miembros y 1 Visitante están viendo este tema.

harry_the_blogger

Hola, estoy desarrollando un virus sencillo que sobreescribe la sección .text. El virus, cuando está en su primera generacion, funciona aparentemente bien.

Use OllyDbg para ver si había inyectado el codigo dentro del ejecutable, y si lo hizo. Pero cuando ejecuto el archivo infectado, el virus crashea.

Quiero aclarar algo: Estoy usando un metodo para buscar las APIs usando su direccion (solo con GetProcAddress y LoadLibrary). El metodo funciona perfecto, por esa razon no quiero que piense que falta alguna dependencia o por el estilo.

Por favor ayudenme. Diganme como hacer para que el virus en su segunda generacion funcione. Ya he estado buscando por toda la internet, y no he podido buscar la forma de hacerlo. Ya visite VXHeavens, la pagina referente en materia de virus, pero aun asi no encuentro como hacerlo.

Gracias de antemano.
Vista mi blog es enriquemesa.blogspot.com

MCKSys Argentina

Cita de: harry_the_blogger en 25 Agosto 2014, 23:29 PM
Use OllyDbg para ver si había inyectado el codigo dentro del ejecutable, y si lo hizo. Pero cuando ejecuto el archivo infectado, el virus crashea.

Y en qué parte crashea? En el codigo de tu virus o en el del programa original? O el programa original deja de funcionar?
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


harry_the_blogger

Como dije, en la primera generacion, el virus se ejecuta sin errores. Pero en la segunda generacion (el virus insertado dentro del archivo infectado), el virus falla. El virus en su primera ejecucion como ejecutable indepiendente corre normalmente.

Quisiera que me dijeras un metodo para añadir una nueva sección, pues pienso que eso sería más factible que simplemente sobreescribir la sección de codigo.
Vista mi blog es enriquemesa.blogspot.com

MCKSys Argentina

Cita de: harry_the_blogger en 26 Agosto 2014, 03:31 AM
Como dije, en la primera generacion, el virus se ejecuta sin errores. Pero en la segunda generacion (el virus insertado dentro del archivo infectado), el virus falla. El virus en su primera ejecucion como ejecutable indepiendente corre normalmente.

Las preguntas anteriores, fueron acerca de lo que llamas la segunda generacion. Osea, imagino que una vez infectado un ejecutable, lo haz corrido bajo Olly (o el debugger que prefieras) para ver qué parte es la que está crasheando... no?

Cita de: harry_the_blogger en 26 Agosto 2014, 03:31 AM
Quisiera que me dijeras un metodo para añadir una nueva sección, pues pienso que eso sería más factible que simplemente sobreescribir la sección de codigo.

Hay demasiados ejemplos en Google sobre eso:

ejemplo 1
ejemplo2
ejemplo3
...
...
...
ejemploN

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


harry_the_blogger

Bueno, MCKsys Argentina, mi única opcion será leer esos links de VXheavens que me has dado. Ya los había leído, pero todavía no entiendo algunas cosas importantes de ellos. Por esa razón quise pedir una segunda opinión, porque espera que alguien me dijera una explicacion un tanto mas clara o al menos diferente.

Vista mi blog es enriquemesa.blogspot.com