[Script]HBP bypass excepciones

.:UND3R:. · 23 Septiembre 2011, 07:14 AM

Hola a todos, les dejo un simple script para aquellos que se inician en esto, consiste en un script para colocar HBP tanto como read access execute, la gran ventaja es que estos HBP son borrados si se producen excepciones con el fin de no ser detectados una vez retomada la excepción se vuelven a colocar:

Código (asm) [Seleccionar]

var AUX
VAR TIPO
var KIUSER
var ZWCONT
var HBP
gpa "KiUserExceptionDispatcher", "ntdll.dll"
mov KIUSER, $RESULT 
bp KIUSER
gpa "ZwContinue", "ntdll.dll"
mov ZWCONT, $RESULT 
bp ZWCONT
ADDRESS:
ask "Dirección del HBP"
cmp $RESULT, 0
je ERROR
mov HBP, $RESULT
PREGUNTA:
ASK "Tipo de HBP,r-w-x"
MOV TIPO,$RESULT
CMP TIPO, "r"
JE INICIO
CMP TIPO, "w"
JE INICIO
CMP TIPO, "x"
JE INICIO
JMP ERROR2
INICIO:
EVAL "{TIPO}"
bphws HBP, $RESULT
TRABAJO:
eob COMPROBAR
run 
COMPROBAR:
cmp eip,KIUSER
je QUITAR
cmp eip,ZWCONT
je BREAKPOINT
cmp eip,AUX
je RESTAURAR
jmp SALIR

QUITAR:
bphwc HBP
jmp TRABAJO

BREAKPOINT:
mov AUX,esp 
add AUX,4
mov AUX,[AUX]
add AUX,0b8
mov AUX,[AUX]
bp AUX
jmp TRABAJO
RESTAURAR:
bc AUX
jmp INICIO

ERROR:
msg "Dirección incorrecta"
jmp ADDRESS
SALIR:
msgyn "HBP encontrado,intentar nuevamente?"
cmp $RESULT,1
je INICIO
ret
ERROR2:
MSG "Tipo de HBP incorrecto"
JMP PREGUNTA

Es muy básico por lo que si a alguien se le ocurre alguna idea la integramos de inmediato, Saludos

Tinkipinki · 27 Septiembre 2011, 10:58 AM

Hola .:UND3R:.
Tienes algun crackme en que hayas aplicado el script para ver como funciona?

Saludos

.:UND3R:. · 27 Septiembre 2011, 17:58 PM

Son Unpackmes, prueba poner execution en 427B0 OEP sin el script no funcionan

ACProtect:
http://www.megaupload.com/?d=0BJWO39K

PELock:
http://www.megaupload.com/?d=1AETTA1G

Tinkipinki · 28 Septiembre 2011, 10:46 AM

Ok, .:UND3R:. lo pruebo y te comento.

Saludos

.:UND3R:. · 28 Septiembre 2011, 16:20 PM

Ok, Muchas gracias. Saludos

Tinkipinki · 29 Septiembre 2011, 12:28 PM

Estoy probando el script y creo que no lo se hacer correr correctamente.
Te explico:

1- Cargo el PELock en el Olly
2- Sale la alerta del Entry Point outside....... y le doy Ok.
3- Sale la alerta del Compresed Code ....continue analisis y le doy Ok.
4- Corro el script y le entro la direccion 427B0
5- Entro el tipo de HBP como x sin el guion -x
6 El script va corriendo analizando direcciones hasta que salta una ventana de
error Don't know how to bypass command at address 003B33CB ....... y aqui
se queda parado.

Probando con el ACProtectc solo de ejecutarlo me echa fuera.

Seguro que es problema mio de no saber correrlo pero bueno, ya me comentaras algo...

Saludos

.:UND3R:. · 29 Septiembre 2011, 16:12 PM

Debes tener plugins para ocultarlo, utiliza OllyAdvance con todo habilitado y lo de la excepción debes añadirla en olly intenta pasar con ctrl+f9 las excepciones
(La idea es que primero puedas lanzar el programa sin problemas, eso es trabajo tuyo jeje, después que puedas lanzarla desde olly. Te pones en el EntryPoint e intentas colocar un HadwareBreakpoint y verás que no te funcionarán y ahí es el momento de usar el script(bypass excepciones es un método que utilizan algunos packer para saber si se han puesto hadwarebreakpoint, cuando se genera una excepción se verifica en la estructura CONTEXT si existen o no hadwarebreakpoint, si es así el programa los barra sigue sin problemas para eso es el script).

Salir

Tinkipinki · 29 Septiembre 2011, 18:13 PM

Ok UND3R, problema solucionado.

Saludos

.:UND3R:. · 29 Septiembre 2011, 18:14 PM

Excelente

Иōҳ · 29 Septiembre 2011, 21:10 PM

Es justo lo que iba hacer... en fin... haber como lo hago yop =/.

Nox.