podrian ayudarme con RunPE en Windows 7?

Iniciado por Belial & Grimoire, 7 Febrero 2011, 04:09 AM

0 Miembros y 2 Visitantes están viendo este tema.

Belial & Grimoire

Hola

alguien podria ayudarme con esto... estoy tartando de aprender sobre RunPE... hay un tuto muy bueno que hizo ferchu y lo trate de seguir, estoy utilizando win7 en virtualbox y no he logrado hacer que funcione, al principio tuve problemas pero logre solucionar el primer ejemplo, pero el segundo ejemplo que él pone, ya no lo logre, segui todos los pasos, y con lo que solucione el primer ejemplo trate de hacerlo en el segundo, pero solo me aparece una pantalla negra diciendo que que ya no es una aplicacion win32

les pongo los archivos el original y el modificado... aun no se que pudo estar mal, espero me pueden decir para poder avanzar porfavor

original notpad

http://www.megaupload.com/?d=NWMSREOW

modificado notepad

http://www.megaupload.com/?d=UBS18P3O

salu2  ;D
.                                 

locot3

Recomendazion,,, si solo estas trabajando con el NOTEPAD.exe de windows el ORIGINAL no tienes nesecidad de usar maquinas virtuales ya que esto se hace para evitar la autoinfeccion de nuestra PC pero en TU caso el NOTEPAD.exe no es ningun virus ni tiene codigo maliciozo asi que las pruevas correlas en tu Win normal aveces las maquinas virtuales tienes conflictos con servicios ahora si quieres usar una maquina virtual te recomiento VMWARE  ;)


Saludos !

Belial & Grimoire

hola

crei que nadie respnderia... pero bueno, uso virtualbx porque no tengo instalo windows, uso linux y para hacer pruebas utilizo virtualbox

ahora estoy sperando si alguien me ayuda con lo de RunPE porque no porque esta diferente en windows 7, creo instalare windows XP para ver si puedo hacerlo bien desde alli

espero puedan ayudarme

salu2
.                                 

[Zero]

Si aprendes a inyectar y conoces el formato PE lo entenderás sin problema:

http://www.mazard.info/tutos/inyecciones.pdf
[url=http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.html]

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Belial & Grimoire

hola

pues sip lo he hecho, con mazard y con el tuto de E0N hace tiempo hice en C una shell con pipe inyectandola en una DLL, pero ya no puedo hacer casi nada al ejecutarlo con CreateThreadRemote.

logre hacer el primero ejemplo del manual de Ferchu en windows 7 pero el segundo ejemplo ya no lo logre, por eso pienso instalar windows XP para lograrlo, pero pues me gustaria mas hacerlo en Windows 7

pero bueno, espero alguien sepa que sucede de diferente en Windows 7 a diferencia del manual de ferchu

salu2
.                                 

[Zero]

No debería de haber ninguna diferencia, salvo que estés en windows 7 64 bits y estés modificando el notepad de 64 bits. Por lo demás no es tan importante hacerlo como entender por qué se hace, si entiendes qué hace el loader de windows para poner en ejecución un archivo que hay en disco entenderás qué hace el RunPE, pues es lo mismo (más o menos).

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Belial & Grimoire

hola

perdon me equivoque, es la tercera parte la que no puedo hacer, esto lo pregunte anteriomente, y es una version windows 7 de 700mb 32bits

Citaral parecer si aumentaba +1 NumberOfSections de notepad, en mi version de windows 7 me aparece 4, le puse 5 y con eso ya no funcionaba

lo deje en 4 hice lo demas y ya me funciono, no se si tendria que haberle aumentado 2 en vez de 1 y dejarlo en 6, pero bueno, no lo modifique y funciono.

intente hacer el capitulo 3, y tengo varias dudas, y pues tampoco me funciono, y no se si tambien sea por alguna diferencia, por ejemplo

en el hexadecimal 0xE0 al cambiarlo a oxB8, me aparece una pantalla negra, es rapido y no logro distinguir que programa de consola se abre, es normal? y el programa se mantiene bien como aplicacion win32, intente dejarlo como E0, pero al finalizar todo, no me aparece tampoco la ventana de Messagebox

y el codigo en asm, con que compilador lo puedo hacer para que me funcione ese codigo para poder verificar los opcodes?, lo hago con fasm, con masm o con algun compilador como Mingw?, intente hacerlo rapido usando ollydbg para que me diera los opcodes, y solo me dio diferente uno

B8 9D 73 00 01 --> Ferchu

B8 9D 73 10 00 --> a mi con ollydbg

pero tampco me funciono

pero no se que pueda ser, hice el cambio exacto, quite y agregue los bites que mencionan

lo que vi en la tercera parte es que la pantalla negra que mencione antes, pues decia que no era una aplicacion win32, pero no hice el cambio de NumberOfSections, ya que el segundo ejemplo no me salio porque le aumentaba uno como decia Ferchu, sin embargo, al no tocarlo, fue cuando me funciono, hice lo mismo en el tercer ejemplo y me dice que esta mal, lo hice como lo describe Ferchu y como a mi me funciono para ver si con alguno funcionaba, pero no

salu2
.                                 

Belial & Grimoire

hola

pues en Windows 7 ya hice casi todo, solo tengo una duda, cuando cambio AddressOfEntryPoint me aparece un mensaje de error y si cambio SizeOfImagebase, me dice que ya no es una aplicacion win32,

hay alguna manera de calcular AddressOfEntryPoint y SizeOfImageBase?

Porque el error de ImageBase es porque el tamaño ya no es igual al archivo original y por eso deja de funcionar, pero Address no se como tambien calcular eso, me imagino que por eso tambien no funciona

alguna idea?
.