Ayuda - mover la IAT e IT

Iniciado por Maurice_Lupin, 29 Mayo 2012, 21:31 PM

0 Miembros y 1 Visitante están viendo este tema.

Maurice_Lupin

Estoy tratando de mover la IAT y IT que se encuentran en la sección .text, asi cuando intento cifrar la sección el exe falla.

Intento trasladar estas tablas a otra sección pero el exe queda inservible. Agradeceria si comparten info,algún link sobre mover la IAT e IT.

Saludos.

Un error se comete al equivocarse.

apuromafo CLS

existe una tool que puede ayudarte a mover la iat, pero debes estar seguro del lugar donde lo moverás(esto esta pensado para mover las apis a otro lugar)
http://magic.shabgard.org/UIF.zip?Reload

por lo demas no olvides usar:
http://ricardonarvaja.info/WEB/buscador.php
en caso de querer reforzar temas como
"redireccion", "iat","IT"
saludos Apuromafo



Maurice_Lupin

Gracias, lo leeré. Pienso agregar una sección y mover alli la IAT e IT.

P.D: mi objetivo es realizar un Crypter en C#, si tienes (o alguien tiene) alguna recomendación se lo agradeceria. Por ahora estoy practicando con mi editor de Hexa y LordPE.

Saludos.
Un error se comete al equivocarse.

MCKSys Argentina

#3
Como recomendaciones, hay muchas. En el cracking ves muchos tipos de packers que hacen diferentes cosas cada uno.

Creo que para empezar a pensar el crypter desde cero, convendria ver algun paper sobre un packer sencillo (UPX) y en base a ese desarrollar un crypter.

El objetivo seria entender como trabaja todo el tema de la IAT, las relocaciones, etc.

Despues, es solo cuestion de imaginar porquerias para meterle...  ;D

Por las dudas:

Codigo fuente del UPX: http://upx.sourceforge.net/download/upx-3.08-src.tar.bz2
Para compilar, ademas hace falta UCL: http://www.oberhumer.com/opensource/ucl/download/ucl-1.03.tar.gz

Aunque te convendria ver las versiones mas antiguas a fin de ver los aspectos basicos: http://upx.sourceforge.net/download/00-OLD-VERSIONS/

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


apuromafo CLS


The Swash

#5
Hola,

En base a los datos que te proporcione la entrada de la IT y la IAT ten el IMAGE_DATA_DIRECTORY, como son su RVA y Size. Con estos datos podrías moverla perfectamente. Lo que necesitas es desplazar dichas "estructuras" completamente hacia otro sitio, garantizar permisos de lectura (IT) lectura y escritura (IAT) y además debes agregar dicho desplazamiento a cada uno de los RVA de dichas estructuras.

Te recomiendo leer un poco sobre el Formato PE. Te dejo unos enlaces que muy seguramente te ayudarán:

Formato PE bajo Windows, está en español y lo pueden encontrar en el siguiente enlace:
http://foro.elhacker.net/empty-t332157.0.html

O preferiblemente el documento que muchos llamamos la bíblia del Formato PE, el PECOFF que es la documentación oficial de Microsoft sobre el tema:
http://msdn.microsoft.com/en-us/library/windows/hardware/gg463119.aspx

PD: Gran consejo MCKSys Argentina, primero debes relacionarte con el "funcionamiento".

Un saludo,
Iván Portilla.

Maurice_Lupin

Gracias MCKSys Argentina .
Muy bueno partir en base a un programa que ya toque la IAT, desconocia de UPX, pues más me he dedicado a programar, recien me estoy informando del formato PE  :(

Ahora, The Swash un gusto leerte.
Ya he intentado mover las tablas, en base a su RVA y Size del Data Directory, utilizo el explorer Suite, pero creo que los permisos de escritura no los he habilitado (IAT). Cuando movi la IT el programa no fallaba. La IAT es la que me da problemas. Probaré con tus sugerencias y postearé mis dudas en este hilo.

Saludos y gracias.

Un error se comete al equivocarse.