Mensajes

Ya veo que este hilo esta tocado, lo sacaron todo de contexto la verdad, no me esperaba esta clase de cosas. Por mi parte no participare mas en este hilo, ya que algunos de vosotros nos contestan como si fueramos unos mercenarios, que lo unico que queremos es sacar dinero a toda costa, que pena que lo entendieran asi.

No abri el hilo para presumir de nada ni mucho menos, pero hay gente lo entendio asi, tampoco vengo hacerme rico, tampoco queremos vender nada en el mercado negro, es que acaso no se leyeron el hilo completo?

Con respecto a ¿Por que los programadores "se ofenden" por las ventas de otros?... y quizas envidian tu inteligencia , quizas se molestan por tu falta de etica, quizas les molesta el hecho de que fomentes el mercado negro y los script-kiddies por 5 euros , no lo sabemos.

Acaso se dijo algo del mercado negro? Te molestaste si quiera a leer la primera pagina? Acaso dijimos algo de vender copias a 5 euros?

Bueno lee la primera pagina, ya no te digo nada mas... Eso del mercado negro si que me molesto, mira que lo dejemos claro en el primer mensaje, y en la pag 1.

No me ofende, pero espero que vendas tu gran versión FUD por 300 euros dando el codigo fuente y sin distribución de mas copias del mismo codigo, no como hacen muchos de vender algo FUD a 200 personas por 5 euros ya que al cabo de 1 semana ya no será FUD.

Eso si, como vendas el crypter (sea a 300€ o a 5€) a alguien de éste foro te voy a poner un ban de los mozos, y por favor que quede como un avíso y no para empezar una discusión porque no creo que tengas las de ganar si llegas a ir en contra de las normas del foro.

Lo mismo, quien dijo nada de vender 200 copias... Me referia a hacerlo todo legalmente, que hay crypter's legales, pero bueno es igual, ni se molestaron a leer, porque tendria que hacerlo yo en contestar.

Ya llevo un tiempo en el foro, ayudando y aportando unos pocos de codes, no se a que viene todo esto, ni que fuera un user de 3 mensajes... Y el lo mismo.

Un saludo.

Exacto eso mismo.

Un saludo.

Para que lo entiendas mejor, porque ya veo que no lo tienes del todo claro, si tu utilizas tu shellcode/exploit en un programa vulnerable, solo tienes que preocuparte por los registros del progrma vulnerable, no de los demas programas, se entiende?

Los programas usan los mismos registros, pero eso no influye en los demas programas, gracias a esa funcion de la CPU.

Sabes si debería de cerrar el post por haber sido resuelto? Es la primera vez que pregunto algo en este foro...

Un usuario normal no puede cerrar un hilo, simplemente cambia el titulo por un resuelto, o un icono de visto.

Un saludo.

Estará intacto pero que valor tendrá? es decir si se ejecuta un software antes que el mío tendrá el valor que haya podido dejar este software anterior?

Si tu estas ejecutando la shellcode, y luego usas el navegador por ejemplo, si los dos estaran usando los mismos registros, pero la CPU tenia una funcion, como para virtualizar los registros o algo asi, tenerlos en memoria, ahora mismo no se, asi que no me hagas caso.

Si quieres saberlo te tocara investigar.

Pero vuelvo a repetirte, el valor sera 0, ya que le hiciste el XOR al principio, y este no cambiara a no ser que escribas en el o alguna instruccion lo use para algo, los demas programas no influyen en su cambio, ya que la CPU tiene esa funcion que ahora no me recuerdo del nombre.

Un saludo.

Hay instrucciones que modifican algunos registros y flags, ya viste MUL, si la instruccion que ejecutas no afecta a ecx su valor estara intacto.

Es eso lo que quieres saber?

Un saludo.

Como puedes ver eax y edx ahora valen 0, ejecuto mi programa con la shellcode del ASM anterior y funciona ok, pero tengo una duda mas, cual es el valor de ecx si no lo sobreescribo? tendrá el valor que dejó la ultima operación que utilizó dicho registro?

Exacto, ecx tiene el mismo valor ya que no lo modificaste, estaria en 0, ya que le hiciste un XOR al principio.

El PUSH que haces a ecx no modifica su valor, simplemente lo coloca en la pila.

Un saludo.

Dios que educado xD.

Todo en este código tiene sentido para mi excepto la instrucción mul ecx, según leo en tu respuesta se está ejecutando lo siguiente:
eax:edx = ecx * eax
eax:edx = 0 * eax = 0

Perdona mi ignorancia pero no entiendo porque se guarda en dos registros el resultado, tampoco comprendo la coletilla "para no tener segmentaciones".

Como te dije anteriormente, MUL es una instruccion que acepta como parametro un registro o una direccion de memoria efectiva (offset). Bien el XOR al ecx del principio lo deja en cero, luego pasas a MUL ecx como parametro, que vale cero, eso significa que el resultado de la multiplicacion sera cero.

Porque se guarda en dos registros el resultado?

Pues por el simple motivo del espacio, hay es donde tienes que tener cuidado tambien con los OverFlow, esta instruccion modica esa bandera.

Lo que te quiero decir es que eax y edx estan concatenados, si el resultado no entra en eax, la parte que sobra se copia en edx.

Ejemplo:

0xfca0ee22 x 2  ----> 0x1f941dc44

Como puedes observar el resultado no entraria en eax ya que son 5 bytes, en eax quedaria 0xf941dc44 y en edx 0x1, si lo lees edx:eax significa que edx se lee el primero y eax el ultimo, y si lo haces de esa forma veras que el resultado es correcto.

Si el resultado no entrase en los dos registros que fuera 9 bytes, activarias la bandera OF (OverFlow) y tendrias problemas.

Cuando dije lo de segmentacion me referia ha segmentation fault, eso ya es teoria... Es cuando intentas acceder a un offset y no puedes, bueno buscalo que o encuentras a patadas por la red, por eso no explico.

Vamos que si no pasas los parametros correctos te aparecera eso, es por eso que se limpian los registros con ese MUL.

Supongo que sabras el orden de los parametros en Linux, no?

Un saludo.

No me lei todo el hilo, ya que es caotico con todo mi respeto.

La instruccion MUL lo que hace es multiplicar el reg/mem que le pases com parametro con eax, como ecx vale 0, pues logico que el resultado sera 0 y este se pasa a eax:edx, se utiliza para dejar en 0 esos dos registros, para no tener segmentaciones.

Cual puede ser el problema? Pues es posible que no estes apuntando bien, o cualquier cosa que pases por alto, no se como no te dije no me lei el hilo entero.

Te dejo una shellcode un byte mas pesada que la del link, para que pruebes.

Código (asm) [Seleccionar] Expandir

8048054: 31 c9                xor    %ecx,%ecx
8048056: 31 d2                xor    %edx,%edx
8048058: 6a 0b                push   $0xb
804805a: 58                    pop    %eax
804805b: 51                    push   %ecx
804805c: 68 2f 2f 73 68        push   $0x68732f2f
8048061: 68 2f 62 69 6e        push   $0x6e69622f
8048066: 89 e3                mov    %esp,%ebx
8048068: cd 80                int    $0x80

Y me dices que sucede, y que haces al ser posible ordenadamente.

Un saludo.

[@Vaagish]

Vale, pasalos cuando puedas.

Que son inyeccion y cosas asi? Bueno mejor al usuario @Vaagish es el encargado de esas tareas, yo soy mas de Unix xD, bueno es igual pasalo a los dos, no le dije nada pero supongo que aceptara.

Un saludo.

[@Vaagish]

Kaspersky, Bitdefeder, Norton, AVG, Avast, DrWeb, y pueda que olvide uno pero ellos son para detección el tiempo de ejecución.

Es un palo tener que instalar esos AV xD, bueno esas pruebas las hace el usuario @Vaagish, creo recordar de que de dijo que el AVG no lo detecto.

Yo no soy quien para definir eso, no sé ningun detalle acerca del metodo usado: dependiente de architectura, version de Windows, etc.
Ustedes deben de tener claro para qué será usado el código, pero si ganar dinero quieren, hagan un crypter y vendando es lo unico que puedo decirles.

Como dije anteriormente, simplemente hera una cosa didactica y de estudio, nada mas, pero ahora salio el tema de que hay gente que se lucra con estas cosas, y me parcecio buena idea, no hacerme rico pero sacar algo al menos.

La arquitectura fue probada en x86 y x64 y bien, version del Windows probemos el XP y el Seven y todo perfecto.

El crypte en si solo son 20 lineas de ASM como diije, y un simple cifrado XOR. Pero vamos que no es el tipico.

Código (asm) [Seleccionar] Expandir

leal EPO, %eax
movl $EPO, %eax

Un saludo.