Mensajes

Si guardas como rtf, puedes abrirlo desde word.

No creo que rtf soporte bookmarks (al menos no lo recuerdo), pero aqui tienes las spec: http://msdn.microsoft.com/en-us/library/office/aa140277(v=office.10).aspx

Saludos!

PD: Si la maquina tiene Word, podrías usar algo como esto:

Código (vb) [Seleccionar] Expandir


Dim objWord
Dim strFile

Set objWord = CreateObject("Word.Application")
objWord.Documents.Open strFile 'strFile es un la ruta al archivo .rtf
objWord.ActiveDocument.SaveAs strFile + ".doc", 1  ' 1 = doc, 2 = txt Format, 6 = rtf,
objWord.ActiveDocument.Close
objWord.Quit


[automagicamente]

Ambos son debugger .NET?, cual es su diferencia?

ildasm es un desemsamblador, no un dbg...  (http://msdn.microsoft.com/es-es/library/f7dy01k1.aspx)

mdbg es un debugger de linea de comandos (http://msdn.microsoft.com/es-es/library/ms229861.aspx)

OJO que ambos links están traducidos automagicamente! (mejor verlo en ingles: en-us)

de donde previenen estos?

Ambos de M$

¿cual surgió primero?

Imagino que el dbg salió primero, aunque bien podrían haber salido ambos a la vez. No lo sé con seguridad (aunque no he mirado la version history...)

Saludos!

Nadie ha pasado por esto?? Soy el primero que hace un inyector en vb,net? Please Help!

Al parecer, si... 

Personalmente, .net no me simpatiza para nada. Prefiero Python u otro lenguaje de alto nivel (que no sea Java).

Aunque para trabajar en windows, asm es la mejor opción.

Por las dudas: te estás inyectando en un proceso de 32 bits, no? Porque código de 32 en 64 no va a funcionar por más inyección que le hagas... 

Una cosa que puedes hacer es depurar el .net y poner un BP luego de hacer el CreateProcess.
Te attachas con Olly al proceso creado y vas ejecutando en .net instruccion x instruccion y miras lo que pasa en olly (si se crea el nuevo thread, si apunta a la direccion correcta y si la DLL esta bien mapeada, etc.)

Saludos!

Si bien no paso mucho tiempo en ring 0, para windows: windbg

Saludos!

No uso este dbg, pero según la pagina del fabricante, en modo kernel parece que tiene problemas con algunos drivers de video (quizás sea por eso que windows crashea).

Prueba en VMWare, con el mismo SO (la ultima version deberia soportar W7 SP1 x86). Al parecer es compatible con los drivers de VMWare...

Saludos!

[relativos]

Debes releer un poco el tema de las instrucciones ASM.

Los JMPs son relativos a la posición donde están ubicados.

La solucion sencilla para evitar ese problema es usar PUSH + RET, pero esto ocupa un byte mas.

Por ej.:

Código (asm) [Seleccionar] Expandir

00412C32    E9 87000000 JMP 00412CBE

podrías reemplazarlo con:

Código (asm) [Seleccionar] Expandir

00412C32    68 BE2C4100 PUSH 00412CBE
00412C37    C3          RET


pero, como ves, ocupa 1 byte más.

Si quieres usar un JMP, tendrás que calcular la distancia del salto antes de escribirlo.

Saludos!

[MEM_RESERVE]

Y agregando MEM_RESERVE en el VAllocX?

Código [Seleccionar] Expandir


        VirtualRet = VirtualAllocEx(ProcessInfo.hProcess, vbNullString, DllTam, MEM_COMMIT + MEM_RESERVE, PROCESS_ALL_ACCESS)


saludos amigos, soy nuevo, quisiera saber que lenguaje es mas usado para crear un exploit, y que se puede hacer con un exploti. gracias de ante mano

Ruby y Python creo que son los mas usados.

Con un exploit puedes...: http://es.wikipedia.org/wiki/Exploit

Saludos!

No quiero ser pesimista pues el código está genial, pero esto no crashea si hay DEP?

Ya le avise a ricnar, asi que deberia estar subiendolos a la web en poco tiempo...

Saludos!