Mensajes

No tienen limites he?

Igual suena interesante.. quizás explotar algún fallo de wine.. 
Pero no se, si esta bien programado seria muy dificil..

Saludos!

uno de ellos creo que era una sinfonía de "DO,RE,MI,FA,SOL,LA,SI"

WOW! Y como se te ocurre que alguien pueda deducir que canción es? sinfonía de DO,RE,MI,FA,SOL,LA,SI ??? Chau, me voy a dormir..

Re: Brutal agresión racista en el Metro de Barcelona

Pega como una niña.. si me llegase a pegar a mi le meto su puño blandeque por el ort*, si vas a pegar trata de knockear al menos 

[EDITO:]

Gracias EI! Eso funciona! Pero ayer lo logre solucionar asi:

Código (asm) [Seleccionar] Expandir


xor edx, edx

bucle:

inc edx

mov esi, dword ptr[ebx]
add esi, eax
add ebx, 4

lea edi, [FuncionBuscada]
mov ecx, 0Eh

repe cmpsb
jnz bucle


Igual no estoy seguro de dejarlo asi,, pasan cosas raras cuando lo depuro.. por ejemplo, a veces no funciona el lea de la linea 11, entonces saco la sección .data y pongo a "FuncionBuscada" dentro de .code y funciona, pero donde cambie algo, deja de funcionar y tengo que volver a la sección .data..  

Creo que voy a tener que hacer otra pregunta, pero dentro de un rato.. cuando vea que no puedo..

Saludos! Gracias!

PD:

EBX ya no es mas un puntero a AddressOfFunctions (no a la ExportTable como dice tu comentario en el codigo)

Gracias por la aclaracion!  

EDITO:

Ahora quedo asi:

Código (asm) [Seleccionar] Expandir

mov esi, dword ptr[ebx + edx*4 ]

Buenas!
Tengo el siguiente problema, estoy leyendo el peb, necesito que cada vuelta que da ese bucle, ebx se posicione sobre el nombre de la funcion exportada. Aclaro que la primer vuelta que da, ebx es correcto, apunta a ActivateActCtx cuando le sumo la direccion de kernel32 que tengo en eax

Código (asm) [Seleccionar] Expandir

; ********************************************
; Hasta aca, en eax tengo a kernel32.dll
; en ebx tengo la ExportTable
; ********************************************

mov edx, -1

bucle: ; Bucle para comprobar si es la función buscada

inc edx ; Para saber en que posicion está la funcion

mov ebx, [ebx + edx * 4] ; Direcion del nombre de la funcion buscada + Siguiente funcion

add ebx, eax ; RVA->VA | add eax, Kernel32Dir
mov esi, ebx ; Mover a esi la funcion actual

lea edi, [FuncionBuscada] ; Mover a edi la funcion buscada
mov ecx, 0Eh ; [FuncionBuscadaLen] Necesario cargarla en cada vuelta, porque se decrementa

repe cmpsb      ; Compara esi y edi, con una longitud de ecx

jnz bucle

Codigo ensamblable:

Código (asm) [Seleccionar] Expandir

.386
.model flat, stdcall
option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
FuncionBuscada db "GetProcAddress",0
.code

inicio:

; *******************************
; Obtener Kernel32.dll
; *******************************
assume fs: nothing
mov eax, fs:[30h]
mov eax, [eax + 0Ch]
lea eax, [eax + 0Ch]
NextModule:
mov eax, [eax]
mov ebx, [eax + 30h]
cmp byte ptr[ebx + 6*2], '3'
jne NextModule
mov ebx, [eax + 18h]
mov eax, ebx ; EAX guarda el valor de kernel32.dll
; *******************************

; ********************************
; Obtener direccion de funcion
; ********************************

add ebx, [ebx + 3Ch]
add ebx, 78h
mov ebx, [ebx]
add ebx, eax

; push ebx ; Guardamos el valor [ET] / Antes: mov [ET], eax

add ebx, 20h
mov ebx, [ebx]
add ebx, eax

; pop ebx ; Recuperamos el valor de [ET]


; ***********************************************************************
; Hasta aca, en eax tengo a kernel32.dll, en ebx tengo la ExportTable
; ***********************************************************************

mov edx, -1

bucle: ; Bucle para comprobar si es la función buscada

inc edx ; Para saber en que posicion está la funcion

mov ebx, [ebx + edx * 4] ; Direcion del nombre de la funcion buscada + Siguiente funcion

add ebx, eax ; RVA->VA | add eax, Kernel32Dir
mov esi, ebx ; Mover a esi la funcion actual

lea edi, [FuncionBuscada] ; Mover a edi la funcion buscada
mov ecx, 0Eh ; [FuncionBuscadaLen] Necesario cargarla en cada vuelta, porque se decrementa

repe cmpsb      ; Compara esi y edi, con una longitud de ecx

jnz bucle

invoke ExitProcess, 0
end inicio

Entiendo que el error esta en la linea 59, cuando edx vale 0, la direccion esta bien, cuando edx vale 1, la direccion salta para no se donde..

Gracias!!!

Wow.. es como raro esto y cuesta creerlo.. hablas con algo de propiedad sobre el tema.. pero nos parece (creo que a todos o a casi todos) un poco exagerado.. al parecer a este individuo lo debería contratar la NSA.. 

Les agradezco mucho la orientación que me dieron, me quedo con el formateo a bajo nivel que ya entendí lo que es, y luego formatear la tarjeta o reemplazarla por las dudas

Mejor primero limpia todas, TODAS las memorias que tengas en la vuelta, pendrive, camaras, celulares, cuaderno del año pasado... TODO y después formateas a bajo nivel.
Si me decís que te infecto otra vez.. o le hacemos un monumento y que venga a enseñarnos a todos,, o realmente nos estas haciendo perder tiempo.. no has echo el log del sistema.. ya me cuesta creerte..

Saludos!

me desilucioné con lo del dump, yo ya me imaginaba que iban a poder hacer un examen forense de mi equipo

En el link que deje ahi hay herramientas para hacer un dump/Log y poder subirlo al foro.. ¿Abriste el link al menos? 
Hace ese LOG o DUMP (como mas te guste llamarlo) y postealo acá..

Saludos!

Felicidades! 

[EDITO:]

Admito que después de que te pase algo así quedas a la defensiva, desconfio de hasta mi propia sombra pero me gustaria hacer el famoso dump para quedarme tranquila o para actuar en concecuencia.

En realidad.. no se si vas a encontrar algo así como "herramienta dump",, me refería a poder ver un "análisis" de los puertos que están siendo utilizados en todo momento por la pc, ver los drivers que tenes instalados, ver los procesos.. ver el registro de windows.. en fin.. que podamos echar un ojo al estado de tu pc, a ver si notamos algo fuera de lo común,, quizás algún otro user sepa de alguna herramienta que haga tal cosa por vos, para no tener que hacerlo a mano (yo desconozco si existe tal cosa)

en cuanto a lo de loca, por el momento no

Bromeaba nomas  

Espero ver ese dump / Log...

Suerte!

EDITO: Mira.. sali del post tuyo y me cruce con este, leelo y me contas..

http://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html