Hola
alguien podria ayudarme con esto... estoy tartando de aprender sobre RunPE... hay un tuto muy bueno que hizo ferchu y lo trate de seguir, estoy utilizando win7 en virtualbox y no he logrado hacer que funcione, al principio tuve problemas pero logre solucionar el primer ejemplo, pero el segundo ejemplo que él pone, ya no lo logre, segui todos los pasos, y con lo que solucione el primer ejemplo trate de hacerlo en el segundo, pero solo me aparece una pantalla negra diciendo que que ya no es una aplicacion win32
les pongo los archivos el original y el modificado... aun no se que pudo estar mal, espero me pueden decir para poder avanzar porfavor
original notpad
http://www.megaupload.com/?d=NWMSREOW
modificado notepad
http://www.megaupload.com/?d=UBS18P3O
salu2 ;D
Recomendazion,,, si solo estas trabajando con el NOTEPAD.exe de windows el ORIGINAL no tienes nesecidad de usar maquinas virtuales ya que esto se hace para evitar la autoinfeccion de nuestra PC pero en TU caso el NOTEPAD.exe no es ningun virus ni tiene codigo maliciozo asi que las pruevas correlas en tu Win normal aveces las maquinas virtuales tienes conflictos con servicios ahora si quieres usar una maquina virtual te recomiento VMWARE ;)
Saludos !
hola
crei que nadie respnderia... pero bueno, uso virtualbx porque no tengo instalo windows, uso linux y para hacer pruebas utilizo virtualbox
ahora estoy sperando si alguien me ayuda con lo de RunPE porque no porque esta diferente en windows 7, creo instalare windows XP para ver si puedo hacerlo bien desde alli
espero puedan ayudarme
salu2
Si aprendes a inyectar y conoces el formato PE lo entenderás sin problema:
http://www.mazard.info/tutos/inyecciones.pdf
[url=http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.html]
Saludos
hola
pues sip lo he hecho, con mazard y con el tuto de E0N hace tiempo hice en C una shell con pipe inyectandola en una DLL, pero ya no puedo hacer casi nada al ejecutarlo con CreateThreadRemote.
logre hacer el primero ejemplo del manual de Ferchu en windows 7 pero el segundo ejemplo ya no lo logre, por eso pienso instalar windows XP para lograrlo, pero pues me gustaria mas hacerlo en Windows 7
pero bueno, espero alguien sepa que sucede de diferente en Windows 7 a diferencia del manual de ferchu
salu2
No debería de haber ninguna diferencia, salvo que estés en windows 7 64 bits y estés modificando el notepad de 64 bits. Por lo demás no es tan importante hacerlo como entender por qué se hace, si entiendes qué hace el loader de windows para poner en ejecución un archivo que hay en disco entenderás qué hace el RunPE, pues es lo mismo (más o menos).
Saludos
hola
perdon me equivoque, es la tercera parte la que no puedo hacer, esto lo pregunte anteriomente, y es una version windows 7 de 700mb 32bits
Citaral parecer si aumentaba +1 NumberOfSections de notepad, en mi version de windows 7 me aparece 4, le puse 5 y con eso ya no funcionaba
lo deje en 4 hice lo demas y ya me funciono, no se si tendria que haberle aumentado 2 en vez de 1 y dejarlo en 6, pero bueno, no lo modifique y funciono.
intente hacer el capitulo 3, y tengo varias dudas, y pues tampoco me funciono, y no se si tambien sea por alguna diferencia, por ejemplo
en el hexadecimal 0xE0 al cambiarlo a oxB8, me aparece una pantalla negra, es rapido y no logro distinguir que programa de consola se abre, es normal? y el programa se mantiene bien como aplicacion win32, intente dejarlo como E0, pero al finalizar todo, no me aparece tampoco la ventana de Messagebox
y el codigo en asm, con que compilador lo puedo hacer para que me funcione ese codigo para poder verificar los opcodes?, lo hago con fasm, con masm o con algun compilador como Mingw?, intente hacerlo rapido usando ollydbg para que me diera los opcodes, y solo me dio diferente uno
B8 9D 73 00 01 --> Ferchu
B8 9D 73 10 00 --> a mi con ollydbg
pero tampco me funciono
pero no se que pueda ser, hice el cambio exacto, quite y agregue los bites que mencionan
lo que vi en la tercera parte es que la pantalla negra que mencione antes, pues decia que no era una aplicacion win32, pero no hice el cambio de NumberOfSections, ya que el segundo ejemplo no me salio porque le aumentaba uno como decia Ferchu, sin embargo, al no tocarlo, fue cuando me funciono, hice lo mismo en el tercer ejemplo y me dice que esta mal, lo hice como lo describe Ferchu y como a mi me funciono para ver si con alguno funcionaba, pero no
salu2
hola
pues en Windows 7 ya hice casi todo, solo tengo una duda, cuando cambio AddressOfEntryPoint me aparece un mensaje de error y si cambio SizeOfImagebase, me dice que ya no es una aplicacion win32,
hay alguna manera de calcular AddressOfEntryPoint y SizeOfImageBase?
Porque el error de ImageBase es porque el tamaño ya no es igual al archivo original y por eso deja de funcionar, pero Address no se como tambien calcular eso, me imagino que por eso tambien no funciona
alguna idea?