Mensajes

[IsDebuggerPresent]

Vamos a los granos de tu cara  :

IsDebuggerPresent es una API, estás en lo correcto entonces tienes dos formas de evadir esta detección:

1) Poner un BP en IsDebuggerPresent y cuando este retorne, se debe invertir el resultado que es retornado en el registro de propósito general EAX (clic derecho, modificar registro, y lo cambias a 0).

2) Usar Plugins, puedes usar OllyAdvance el cual realiza los mismos pasos que el 1 pero de forma automática.

Saludos

PD: El título debe ser descriptivo!

Y cuales son tus avances?

[opj_j2k_read_mcc_record]

en los jpeg es posible :
http://thehackernews.com/2016/10/openjpeg-exploit-hack.html

Por medio de un exploit se puede embeber codigo malicioso pero suele ser errores puntuales no generalizado aunque es cierto que el formato jpeg es más inseguro que jpg.

Lo que si he visto muy a menudo que hay usuarios que pueden meter en hosting de imagenes un php y cuando tu ejecutas el php pensando que es una imagen es codiglo malicioso q estas ejcutando por lo que al final tendr el control de tu ordenador. o incluso si puedes incluir contenido javascript al dominio etc puede intentar tener algo de control por ejemplo sacando informacion o haciendo una peticion al usuario...

si la imagen jpg tiene metadatos  se puede incluir codigo malicioso tambien busca en google y veras.. pero el dilema es como ejecutaras los datos? desde el servidor pero el que se baje la imagen dudo que ejecuten esos datos.

Que me corrija alguien si me equivoco.

En base a lo que has posteado intentaré explicarte la descripción técnica del ataque más menos, en base a este link:

http://www.talosintelligence.com/reports/TALOS-2016-0193/

Existe un formato de lectura de imágenes llamado:

jpeg2000

Este formato es implementado en una librería llamada "OpenJpeg library",
el vector de ataque consiste en la ejecución de la imagen con tal formato, el cual es utilizado en varios lectores PDF (en varios lectores/reader de PDF utilizan la librería OpenJpeg, la cual reitero posee una estructura vulnerable).

Algunos de los lectores PDF afectados son:
- Poppler
- MuPDF
- Pdfium

¿En donde se encuentra el error?
En la función opj_j2k_read_mcc_record, la cual se encuentra en src/lib/openjp2/j2k.c .

Código [Seleccionar] Expandir

l_mcc_record = l_tcp->m_mcc_records;

   for(i=0;i<l_tcp->m_nb_mcc_records;++i) {
           if (l_mcc_record->m_index == l_indix) {
                   break;
           }
           ++l_mcc_record;
   }

Debo marcharme pero es ahí donde se produce un error en el índice del registro record si es que este no se logra encontrar, logrando generar un desbordamiento del HEAP, el cual conlleva a la ejecución de código arbitrario (reverse shell, troyanos, etc.).

Saludos

EDIT: En resumen el "hackeo" no se produce puntualmente con la imagen, si no la estructura de la imagen, la cual es utilizada por una librería, la cual es utilizada en programas lectores de PDF.

Hola, sí, ya lo tengo y claro nada mejor que entender el trasfondo pero de vez en cuando el tiempo nos apresura, saludos y muchas gracias por los link 

Hola, he cambiado el título del tema por un tema más descriptivo, he visto algunos canales y nada que decir, muy bueno 

uff... no... es como decir "quisiera saber el numero de una chica, decidí dipararle a la gente en el centro de la ciudad y mostrarles una foto esperando conseguir el numero"

en la ram ya las imagenes no son archivos como los que conoces, no tiene valor de esa manera... en la ram ya están descomprimidas y en formato pixel o el formato que maneje la librería de video usada... igual para otras cosas...

tienes que buscar son los archivos del juego

Quizás se refiere a la memoria virtual del ejecutable 

El tema ha sido movido a Ingeniería Inversa.

http://foro.elhacker.net/index.php?topic=463715.0

Themida y Winlicence son un tema algo complicado, requieres de buenos meses por no decir años de entrenamiento, por lo cual lo veo como algo difícil.

Alguien tiene VH2011?

Gracias

Solucionado, en crack latinos Apuromafo dejó el user y pass, quien lo quiera por privado, saludos y gracias por su ayuda