Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Shaddy

#1
Ingeniería Inversa / Re: Consulta sobre loader
16 Noviembre 2015, 13:55 PM
Cita de: Cachetazo en 10 Noviembre 2015, 00:49 AM
Los molesto por una consulta/problema para hacer un loader.

Tengo un ejecutable que, al abrirse:
- Carga una serie de dll propias (están en la carpeta del ejecutable)
- Busca una serie de información del sistema, para con ello hacer un HWID que envía al servidor
- El servidor no permite que se conecte más de un cliente por HWID.

El ejecutable está empacado con winlicence+themida y no logré hacerlo funcionar en olly ni en x64dbg, por lo que tuve que usar wireshark para encontrar mi HWID.

Mi HWID es 9965A6CA3B3ED0807938584012E76BF5

Con el cheatengine hago attach al ejecutable -> memory view -> buscar la string 9965A6CA3B3ED0807938584012E76BF5 -> y MANUALMENTE cambio el último número (5) para poder entrar con un segundo cliente.

Es decir, logré el objetivo que era conectar más de un cliente a la vez.

Mi problema ahora es hacer el loader, para que me cambie el número de forma automática. Quiero hacer algo simple, que solo cambie 5 por 6. Nada más ni nada menos.

Probé con DUP2, Abel loader y algunos otros más, pero sin éxito. No logro hacer que NO busque por dirección, si no que haga el mismo proceso que hace el CE: Buscar en la memoria tal srting y cambiarlo.

Qué se les ocurre que puedo hacer?


EDIT: La respuesta obvia sería "y trataste de hacer el loader con el cheatengine?". Sí, traté googleando pero no encontré una forma de hacerlo.


Más que loader, me ha parecido entender que has usado el CheatEngine con el proceso corriendo. Así que no te interesa estar en un punto concreto de la ejecución.

Para ese caso, con hacer un OpenProcess, ReadProcessMemory (escanear tu HWID) y WriteProcessMemory sería suficiente.

Códigos de ejemplo tienes en mil sitios, te recomiendo buscar en github.

Un ejemplo: https://github.com/yesme2000/klib/blob/b342142af8967d1f53f09016d0ab9b23b29673b9/master/core/mem/remote_memory.cpp

Un saludo.
#2
Cita de: x64Core en 28 Agosto 2014, 22:36 PM
Si se habla acerca infección de ejecutables, ese es el punto aquí. ;)



Es cierto, esa técnica se conoce como EPO, y no es inline-patching porque lo segundo corresponde a un código que autoparchea un ejecutable y lo primero un código que trata de "ocultar" el main del vx.

Pero no es menos cierto que esa técnica aunque todo el mundo se la atribuye a GriYo otros ya la habían hecho antes :).

Un saludo.
#3
Cita de: Meta en 19 Marzo 2014, 17:40 PM
Hola:

Con Cheat Engine busco las direcciones fijas de color verde para las variables. He hecho con Visual C# 2013 una palicación que lee las variables y me lo muestra en tiempo real como el juego. Si el juego marca 100 de vidas, en C# me lo refleja, si en el momento me marca 99, en C# pone 99. El problema es que al cerrar el proceso y lo vuelvo abrir, cambian las direcciones de las variables.

Me han contado, que existe la posibilidad encontrar variables fijas en los ejecutables de los juegos, aunque sea el notepad, la calculadora de Windows o tu propio exe.
A parte del Cheat Engine, me recomiendan usar ollydbg.

Hago estas preguntas.
1) ¿Realmente es cierto que Cheat Engine es capaz de encontrar direcciones totalmente fijas? (Es decir, que al volver abrir un proceso, encuentre una dirección que jamás varía).

2) Con OllyDBG me confirman que se busca un offset que nunca cambia, este si que lo hace. Lo que es complejo de buscar, pero existe la posibilidad. La pregunta es. ¿Qué usan ustedes para buscar variables fijas, Cheat Engine o ollydbg?

Tendré que ponerme con Ollydbg para lograrlo. Si existe la posiblidad en el Cheat Engine, me alegra saberlo.

Quiero saber sus opiniones.

Nunca tienes que elegir entre uno y otro, intenta exprimir las aptitudes de cada herramienta en su ámbito. Es decir, usa los dos.

Un saludo.
#4
Bugs y Exploits / Re: Duda con safeseh
1 Julio 2013, 02:37 AM
Cita de: .:UND3R:. en 21 Junio 2013, 04:05 AM
Hola a todos, estoy comenzando con la elaboración de exploit y me he topado con el concepto de safeSEH (entiendo el funcionamiento de los manejadores de excepciones, cómo localizarlo, etc.), pero en muchos tutoriales nombran que hay que buscar módulos que posean safeSEH desactivado, pero no logro entender el funcionamiento de safeSEH, cito:

esto se refiere a que existe un estructura encargada de almacenar las direcciones que apuntan los SEH?, ¿Qué ocurre cuando se instalan nuevos SEH?, ¿esta lista se actualiza? a ver si me aclaran esta duda, ya que como  sabrán no sirve de nada conseguir los objetivos sin saber cómo funciona todo, saludos.

EDIT: Leyendo no me expliqué muy bien, mi pregunta es por que cuando necesito conseguir instrucciones POP POP RET estas deben ser conseguidas en módulos que no posean safeSEH?, si sólamente estoy tomando instrucciones, y en ningún momento estoy alterando los SEH del módulo?

Buenas Under,

El SEH es una estructura que se guarda en el marco del thread que se está ejecutando. Se va enlazando con links simples, y no tiene que ver con el pop / pop /ret.

Tienes que conseguirlas en módulos que no tengan safeSEH porque en la ntdll cuando recibe en KiExceptionUserDispatcher la excepción, se verifica si la librería a la que apunta el puntero instalado en el seh está dentro de estos módulos.

Así que si no salta al SEH no hay pop / pop / ret.

Un saludo.
#5
Cita de: x64Core en 30 Junio 2013, 08:37 AM
Creo que hay que destacar las palabras de shaddy:

Todo el mundo copia snippets de código de los demás. Y muy pocos hacen cosas realmente innovadoras,
así que tratándose además de alguien que gana dinero a través de ello, no creo que eso sea realmente el problema.


[sarcasm]Por favor que alguíen lo lleve a la NASA, ellos realmente necesitan gente con esa intelectualidad.[/sarcasm]

Buenas x64Core,

En primer lugar ya no trabajo en Panda, pero eso no es algo de tu incumbencia. Para lo que ellos me contrataron no es para programar, y menos para debatir con gente que cree que sabe de programación como tu.

Me contrataron para hacer reversing, y en esos términos creo que estás un poco perdido. A mi este código de este malware me parece solamente el código como tu valoración: un juego de niños.

Quieres que la gente piense que eres muy purista a la hora de valorarlo pero realmente valorar algo como esto y leerlo para mi es bastante hilarante, la verdad.

La gente que se gana la vida con el Malware como este no son profesionales. Solamente buscan hacer caja.

La gente profesional generalmente hace cosas más ad-hoc y tiene sus propios 0day. Y por supuesto, sabe programar en bajo nivel. En 2013 estos códigos que todavía andan jugueteando en USER_MODE son para que tengas tu momentito de gloria x64Core.

Un saludo.
#6
Cita de: engelx en 29 Junio 2013, 14:13 PM
el problema no es que copie otros codigos... el problema es cuando lo copias con demasiados detalles (como los errores) tipico trabajo de escuela donde entregabas un trabajo impreso copy de internet que decía "haga click aqui"

No creo que eso sea algo reprochable. Todo el mundo copia snippets de código de los demás. Y muy pocos hacen cosas realmente innovadoras, así que tratándose además de alguien que gana dinero a través de ello, no creo que eso sea realmente el problema.

Un saludo.
#7
Ingeniería Inversa / Re: Me podrian ayudar?
29 Junio 2013, 13:25 PM
Cita de: Lucianow en 26 Junio 2013, 19:35 PM
Hola, quiero crackear un programa que se llama Magebot, ya lei algunas cosas en este tema : http://foro.elhacker.net/ingenieria_inversa/como_hacer_que-t250765.0.html;msg1225835#msg1225835

Pero no puedo, alguien me puede explicar paso a paso? Ya lei los tutoriales, pero igual, nada. De antemano, gracias.

Buenas,

¿En dónde te has quedado? ¿Qué es lo que no consigues?

Un saludo.
#8
Ingeniería Inversa / Re: ¿Comenzar con IDA?
29 Junio 2013, 13:22 PM
Buenas Under,

Es una muy buena opción. Realmente la potencia de IDA es más en análisis estático que en debugger, pero también tienes la opción de depurar.

Los tutoriales de Bingundilla están muy bien para ir conociendo como funciona poco a poco. Te recomiendo que hagas ejemplos en C y analices tus propios binarios para ir cogiendo soltura.

Si tienes dudas ya sabes.

Un saludo!
#9
Cita de: x64Core en 25 Junio 2013, 20:21 PM
incluye un monton de Copy-paste

Si nos ponemos quisquillosos, hasta tus respuestas son de Copy-paste.
#10
Cita de: napstero en 11 Octubre 2011, 03:47 AM
Desde hce varios meses vengo intentando crakear este maldito programa fiatecuscan 3.1 escrito en .NET  , esto lo comprobe con el RDG Packer Detector v0.6.7 2011 Vx-Edition  , la verdad agote todos los rcursos ,nose si me pueden dar una mano


Registrando el programa

Luego analise las call de pilas



ahora ahi como sigo ...

http://www.megaupload.com/?d=WK7L20U8

Pues ahí tienes una pila de llamadas. ¿No sabes que hacer con ella?

Si programases una protección y quisieses que lanzase un mensaje. ¿Cómo lo harías?

Un saludo.