Error buscando POP RET

Iniciado por Lodos76, 13 Marzo 2014, 23:56 PM

0 Miembros y 2 Visitantes están viendo este tema.

Lodos76

Buenas a todos :).


Verán, estaba leyendo el PDF de creación de exploits 2 de Corelan cuando me veo esto:

CitarPrimero que todo, necesitamos saber el Opcode para el POP POP RET.
Usaremos la función de ensamblado en Windbg para conseguir los Opcodes.

0:000> a
7c90120e pop eax
pop eax
7c90120f pop ebp
pop ebp
7c901210 ret
ret
7c901211
0:000> u 7c90120e
ntdll!DbgBreakPoint:
7c90120e 58 pop eax
7c90120f 5d pop ebp
7c901210 c3 ret
7c901211 ffcc dec esp
7c901213 c3 ret
7c901214 8bff mov edi,edi
7c901216 8b442404 mov eax,dword ptr [esp+4]
7c90121a cc int 3

Así que los Opcodes del POP POP RET son: 0×58, 0x5d, 0xc3.


Pues nada, lo intento y esto es lo que me sale:
Citar0:010> a
7c90120e ; Sólo sale esto, así que escribo "pop eax"
pop eax
7c90120e pop eax
pop eax
*** WARNING: Unable to verify checksum for C:\Program Files\Easy RM to MP3 Converter\RM2MP3Converter.exe


¿Y eso? No consigo encontrar un pop pop sin esto...
He buscado por un sólo pop porque si con dos pop ya no lo encuentro, con uno menos...

He probado a usar en Immunity Debugger
!safeseh ; Busca DLLs compiladas sin safeseh
!search pop r32 ; Buscar POP a un registro de 32 bits
pero sólo me salen POPs de user32.dll


Gracias de antemano.

.:UND3R:.

Puedes usar mona.py un PyCommands de Immunity debugger, byakugan plugin de WinDbg o el mismo OllyDbg, clic derecho "search for secuence of commands" y pones

POP r32
POP r32
RETN

Para seguir buscando por más módulos, los vas seleccionando y luego tecleas Ctrl+L para realizar la misma búsqueda, saludos.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Lodos76

Cita de: .:UND3R:. en 14 Marzo 2014, 15:06 PM
Puedes usar mona.py un PyCommands de Immunity debugger, byakugan plugin de WinDbg o el mismo OllyDbg, clic derecho "search for secuence of commands" y pones

POP r32
POP r32
RETN

Para seguir buscando por más módulos, los vas seleccionando y luego tecleas Ctrl+L para realizar la misma búsqueda, saludos.

Muchas gracias:).

Con "módulos" te refieres a "DLLs", ¿no?
Para verlos he puesto buscar por all modules, y puesto cualquier dirección con la DLL que quería y he clickado en "search for secuence of commands". Algo manual...
No habrá alguna tool que lo haga automáticamente y te lo imprima, ¿no? xD.

Salu2

.:UND3R:.


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Lodos76

Cita de: .:UND3R:. en 15 Marzo 2014, 00:00 AM
Lo hice hace un año atrás creo
http://foro.elhacker.net/buscador-t394411.0.html

Vaya, qué buena pinta tiene eso :P

Según he podido googlear hay que compilar el plugin con MVC++, pero tu código no se corresponde con ningún lenguaje que conozca. ¿Qué hay que hacer?

.:UND3R:.

Cita de: Lodos76 en 15 Marzo 2014, 14:44 PM
Vaya, qué buena pinta tiene eso :P

Según he podido googlear hay que compilar el plugin con MVC++, pero tu código no se corresponde con ningún lenguaje que conozca. ¿Qué hay que hacer?

Jajaja OllyScript la última versión, es un plugin que automatiza tareas

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)