Mensajes

que depurador me recomiendas?, es que uso ollydbg pero todavia no se actualiza para analizar aplicaciones de 64 bits, ya corregi el codigo y creo va funcionando cada vez mejor

ahora ya se cargan mas librerias

Código [Seleccionar] Expandir

'Project1.exe' (Win32): 'C:\Users\grimoire\Documents\Visual Studio 2012\Projects\Solution1\x64\Release\Project1.exe' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\ntdll.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\kernel32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\KernelBase.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\ws2_32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\msvcrt.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\rpcrt4.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\nsi.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\mswsock.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\user32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\gdi32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\lpk.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\usp10.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\imm32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\msctf.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\WSHTCPIP.DLL' cargado. Símbolos cargados.
El programa '[656] Project1.exe' terminó con código 0 (0x0).

pero sigue sin funcionar, visual studio trae un debuggin por defecto, pero por mas breaks que pongo no me marca el error, ni violacion de acceso, ni nada, continua la ejecucion normalmente

Código (asm) [Seleccionar] Expandir


extrn LoadLibraryA:PROC
extrn ExitProcess:PROC
extrn GetProcAddress:PROC

.data

wsdll db "ws2_32.dll",0
wsaddr dq ?
WStp db "WSAStartup",0
wtaddr dq ?
wsadata db 400 dup (0)
sock db "socket",0
sockaddr dq ?
conn db "connect",0
conaddr dq ?
sen db "send",0
senaddr dq ?
buf db "hola mundo",0

.code
Start proc
push rbp
mov rbp, rsp
sub rsp, 20h

mov rcx, offset [wsdll]
call LoadLibraryA
mov[wsaddr], rax

mov rdx, offset[WStp]
mov rcx, [wsaddr]
call GetProcAddress
mov[wtaddr], rax

lea rdx, wsadata
mov rcx, 2h
call [wtaddr]

mov rdx, offset[sock]
mov rcx, [wsaddr]
call GetProcAddress
mov[sockaddr], rax

mov r8, 0h
mov rdx, 1h
mov rcx, 2h
call [sockaddr]
mov[sockaddr], rax

mov rdx, offset[conn]
mov rcx, [wsaddr]
call GetProcAddress
mov[conaddr], rax

mov rsi, 16h
mov rdi, 0100007FB9220002h
mov rdx,[sockaddr]
call[conaddr]

mov rdx, offset[sen]
mov rcx, [wsaddr]
call GetProcAddress
mov[senaddr], rax

mov r9, 0h
mov r8, 50h
mov rdx, offset[buf]
mov rcx,[sockaddr]
call[senaddr]

mov rsp, rbp
pop rbp

xor ecx, ecx
call ExitProcess

Start endp

End

hola

pues despues de buscar y reintentar, logre crear el codigo y que se compile sin errores, se cargan las siguientes librerias en la pantalla de depuracion de visual studio, el cual lo tengo configurado como x64

Código [Seleccionar] Expandir

'Project1.exe' (Win32): 'C:\Windows\System32\ntdll.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\kernel32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\KernelBase.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\ws2_32.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\msvcrt.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\rpcrt4.dll' cargado. Símbolos cargados.
'Project1.exe' (Win32): 'C:\Windows\System32\nsi.dll' cargado. Símbolos cargados.

pero no se conecta, alguien podria checar el codigo y decirme que podria estar mal, por favor

Código (asm) [Seleccionar] Expandir


extrn LoadLibraryA:PROC
extrn ExitProcess:PROC
extrn GetProcAddress:PROC

.data

wsdll db "ws2_32.dll",0
wsaddr dq ?
WStp db "WSAStartup",0
wtaddr dq ?
wsadata db 400 dup (0)
sock db "socket",0
sockaddr dq ?
conn db "connect",0
conaddr dq ?
sen db "send",0
senaddr dq ?
buf db "hola mundo",0

.code
Start proc
push rbp
mov rbp, rsp
sub rsp, 20h

mov rcx, offset [wsdll]
call LoadLibraryA
mov[wsaddr], rax

mov rdx, offset[WStp]
mov rcx, [wsaddr]
call GetProcAddress
mov[wtaddr], rax

lea rdx, wsadata
push rdx
push 2h
call [wtaddr]

mov rdx, offset[sock]
mov rcx, [wsaddr]
call GetProcAddress
mov[sockaddr], rax

push 0
push 1
push 2
call [sockaddr]
mov[sockaddr], rax

mov rdx, offset[conn]
mov rcx, [wsaddr]
call GetProcAddress
mov[conaddr], rax

push 16
mov rax, 0100007FB9220002h
push rax
push[sockaddr]
call[conaddr]

mov rdx, offset[sen]
mov rcx, [wsaddr]
call GetProcAddress
mov[senaddr], rax

mov r9, 0
mov r8, 50
mov rdx, offset[buf]
mov rcx,[sockaddr]
call[senaddr]


mov rsp, rbp
pop rbp

xor ecx, ecx
call ExitProcess

Start endp

End

jaja, yo cuando hablo sobre este tema, me han borrado incluso mis comentarios, haber si no me borran este tambien

cuando puedo defiendo a los newbies porque yo tambien pase por eso (y sigo pasando porque considero que siempre hay algo nuevo que aprender) y entiendo cuando llegan entusiasmados queriendo aprender algo y que te respondan con frialdad, te quitan el animo, y por lo general pasan dos cosas, los nuevos foreros se vuelven igual de frios o se van del foro, el problema es que cuando se van, empiezan con esa misma actitud en otras partes y se generaliza la rudeza en las respuestas, tambien estan los obsesionados con volverse moderadores y tratan la gente de formas que intentan demostrar al administrador que son el futuro del foro, tambien flojera de las personas por responder, es mas sencillo decir, busca en google, que escribir 200 lineas sobre un tema, y hay muchas otras razones...
aunque tambien los newbies deben pensar las cosas antes de preguntar cualquier cosa, no es lo mismo preguntar

¿me podrian decir que tutoriales son buenos para aprender sobre seguridad informatica?

que preguntar

¿como me hago hacker?, ¿alguien me dice como configuro mi troyano para meterme en otras computadoras?

digo, creo que hay mucha diferencia

una vez quise abrir un tema sobre esto, yo estoy en este foro desde casi el año 2005 o 2006 mas o menos, y queria mostrar un poco sobre la diferencia entre las cosas de esos año y las de estos años, y preguntar porque las cosas han cambiado de esta forma? y porque es mas dificil hacer una pregunta sin recibir 30 respuestas, en donde 25 son insultos, ofensas o burlas por no saber sobre el tema, 3 son links hacia google y dos son personas que minimo te tratan de ayudar, eso siempre y cuando tu tema no sea eliminado porque algun moderador

pero bueno, a mi me toco una epoca genial, donde se hacian incluso intercambio de codigos, respondian de una mejor manera, y un moderador no venia a limpiar y ya, era alguien con el mayor conocimiento sobre la sección del foro y la mejor disponibilidad de ayudar a lo demas, no era obligacion pero si era muy frecuente que el que mas sabia y mejor respuesta te daba era el moderador

bueno, solo me queda decirle a los newbies, que no se desanimen por las respuestas, sigan con el mismo animo e interes aunque tengan que buscar en otro lado

salu2

yo también compre esa y si es buena para auditorias, y el alcance es bueno, tiene un poco de limitantes por ser USB pero almenos para auditorias si funciona

yo que me canso estando mas de 5 minutos en las redes sociales, y otros que no pueden vivir sin tener algo relacionado con alguna red social, creo el foro tiene twitter, mejor usa esa eso

pero no hagan ese cambio, seria aburrido ver cada 5 segundos un mensaje o imágenes inútiles todo el tiempo como en facebook, o teniendo gente obsesionada con recibir 1000 likes por cualquier cosa que suban o escriban

salu2

hola flamer

gracias, se ve interesante y trae buenos ejemplos, lo estoy checando

lo que sucede es que estoy usando a nasm con gcc para programar en ensamblador, y lo estaba haciendo en windows 7 de 32 bits con virtualbox, pero necesitaba usar la particion de windows que tengo instalado en mi computadora , asi que pase el codigo que tenia en virtualbox a la particion con windows para seguir estudiando, pero investigando sobre socket, encontre algunos hechos para linux en 64 bits, entonces se me hizo interesante y quise hacerlo para windows, y me dio curiosidad de rehacer el mismo codigo que habia hecho en 32bits pero en 64bits para aprender mas

ahora buscando informacion y con la ayuda que he recibido, logre entender cosas que no habia logrado entender usando asm de 32bits, creo por eso me gusta complicarme, porque me ayuda a encontrar informacion o comprender cosas que no entendia en su momento

gracias nuevamente por el link, y espero puedan me ayudar con el codigo de arriba

salu2  

hola

estuve investigando sobre el tema de rcx - r8, y encontre que hay que alinear reservando espacio para los registros que seria 20h, no tengo bien entendido si tambien hay que reservar espacio para las API o para los CALL, en un foro resolvieron un problema sumando 8

sub rsp, 20h

sub rsp, 20h + 8

pero en un tutorial dice que call manda de retorno 8 bytes, asi que si 20h son 32 bytes, serian 32 + 8 = 40 entonces seria

sub rsp, 28h

Código [Seleccionar] Expandir

It is the caller's responsibility to allocate 32 bytes of "shadow space" (for storing RCX, RDX, R8, and R9 if needed) before calling the function.

asi lo he hecho en este momento y al parecer funciono al inicio, antes solo cargaba estas dll

'C:\Windows\System32\ntdll.dll' cargado. Símbolos cargados.
'C:\Windows\System32\kernel32.dll' cargado. Símbolos cargados.
'C:\Windows\System32\KernelBase.dll' cargado. Símbolos cargados

cuando agregue 28h, cargaron las demas dll

'C:\Windows\System32\ntdll.dll' cargado. Símbolos cargados.
'C:\Windows\System32\kernel32.dll' cargado. Símbolos cargados.
'C:\Windows\System32\KernelBase.dll' cargado. Símbolos cargados.
'C:\Windows\System32\ws2_32.dll' cargado. Símbolos cargados.
'C:\Windows\System32\msvcrt.dll' cargado. Símbolos cargados.
'C:\Windows\System32\rpcrt4.dll' cargado. Símbolos cargados.
'C:\Windows\System32\nsi.dll' cargado. Símbolos cargados.

este es el codigo

Código (asm) [Seleccionar] Expandir



extrn LoadLibraryA:PROC
extrn ExitProcess:PROC

.data

wsdll db "ws2_32.dll",0
wsaddr dq ?


.code
Start proc
push rbp
mov rbp, rsp
sub rsp, 28h

mov rcx, offset [wsdll]
call LoadLibraryA
mov[wsaddr], rax


xor ecx, ecx
call ExitProcess

mov rsp, rbp
pop rbp

Start endp

End

ahora quise continuar con GetProcAddress, pero aqui no logro avanzar, ahora se interrumpe la ejecucion en el call de getprocaddress, lo que significa que vuelve a retornar 0, intente varias formas, por ejemplo

Código (asm) [Seleccionar] Expandir

mov rcx, offset[WStp]
mov rdx, [wsaddr]
call GetProcAddress
mov[wtaddr], rax

Código (asm) [Seleccionar] Expandir

mov rdx, offset[WStp]
mov r8, [wsaddr]
call GetProcAddress
mov[wtaddr], rax

tambien intente mover rsp, con 30h, 20h, etc, leyendo mas encontre

Código [Seleccionar] Expandir

It is the caller's responsibility to clean the stack after the call.

asi que quise borrar usando add rsp, 28h y volviendo a reservar sub rsp, 28h,tambien add rsp, 8h, add rsp, 10h,  pero nada,
me podrian ayudar un poco con esto porfavor?

salu2

disculpa, lo que sucede es que en visual studio se configura en opciones como se va a compilar sin necesidad de linea de comandos y lo de las llamadas lo saque de donde encontraba información en google, por eso esta revuelto

pero gracias, voy a seguir estudiando lo que mencionas

salu2

hola

tuve curiosidad de pasar el socket que hice a 64 bits, pero tambien tuve problemas para vincular obj a exe, ya que gcc en windows solo funciona para 32bits, hay una version para 64 pero me tira errores, asi que opte por golink, pero encontre que se podia usar masm desde Visual studio, asi que opte por usar masm

hay algunas diferencias en entre nasm y masm sobre el codigo, pero tenia entendido que es mas universal asm, asi que para no complicarme hice el mismo codigo que ya tenia pero con las diferencias de masm, el codigo al compilarlo no me produce errores, pero aparece la pantalla de interrupcion que menciona que hay un error en ejecucion, desafortunadamente ollydbg tampoco funciona para ejecutables de 64 bits y no tengo mucha experiencia con el debugger que viene por defecto en visual studio, pero puse algunos break y tira el error en el primer "call", y posiblemente son todos los call

en nasm normalmente lo uso asi

Código (asm) [Seleccionar] Expandir

mov[valor], eax
call [valor]


pero creo en masm eso no funciona, ya googlé varias veces, pero no encuentro como usar call en masm para 64 bits, o cual es la diferencia, etc, todo lo que encuentro es para 32bits

alguien podria explicarme, porque no funciona el codigo que hice?, acabo de empezar en estos dias con masm, asi que todavia hay diferencias que no comprendo, y siento que lo mas recomendable para ensamblador en windows seria masm y en linux seria nasm

por cierto, si me recomiendan mejor usar el IDE de masm en vez de Visual studio, puedo hacer el cambio, lo que sucede es que uso Visual Studio para programar en C o visual basic, aunque me gusta mas usar MinGW con codeblocks, pero ya que tengo esa IDE instalada, decidi mejor programar alli tambien en ensamblador

les dejo el codigo

Código (asm) [Seleccionar] Expandir


extrn LoadLibraryA:PROC
extrn ExitProcess:PROC
extrn GetProcAddress:PROC

.data

wstart db 400 dup (0)

wsdll db 'ws2_32.dll',0
wsaddr dq ?
WStp db 'WSAStartup',0
wstaddr dq ?
soc db 'socket',0
socaddr dq ?
conn db 'connect',0
conaddr dq ?
sen db 'send',0
senaddr dq ?

sre db "hola mundo",0

.code
Start proc
push rbp
mov rbp, rsp

mov rdx, offset[wsdll]
call LoadLibraryA
mov[wsaddr], rax

mov r8, offset[WStp]
mov r9, [wsaddr]
call GetProcAddress
mov[wstaddr], rax

lea rcx,[wstart]
push rcx
push 2
call [wstaddr]

mov r8, offset[soc]
mov r9, offset[wsaddr]
call GetProcAddress
mov[wstaddr], rax

push 0
push 1
push 2
call [wstaddr]
mov[socaddr], rax

mov r8, offset[conn]
mov r9, offset[wsaddr]
call GetProcAddress
mov[conaddr], rax

push 16
xor rax, rax
mov rax, 0100007f5c110002h
push rax
push qword ptr[socaddr]
call [conaddr]

mov r8, offset[sen]
mov r9, offset[wsaddr]
call GetProcAddress
mov[senaddr], rax

push 0
push 50
mov rcx, offset [sre]
push rcx
push qword ptr[socaddr]
call [senaddr]

xor ecx, ecx
call ExitProcess

mov rsp, rbp
pop rbp

Start endp

End

si encuetran codigo muy raro, es que use varias formas que encontraba en google pero ninguna funciono, aunque espero siga siendo entendible

salu2

mi unico odio hacia windows 8 simplemente es que ya tiene muchas cosas innecesarias para mi, con esto de las redes sociales, hay muchos procesos activados para todo tipo de red social, facebook, twitter, la version ultimate tiene includo servidor, muchas cosas para visualizar fotos, mensajeria instantanea, y otras muchas cosas que yo como programador ni uso ni usare, yo tambien vengo de windows 3.1 a windows 8, pero sin duda ya no es un sistema operativo para informaticos, ya solo es un sistema operativo hecho para gente que tiene mucho tiempo libre para socializar y comprar productos con numeros grandes en hardware.

ya si no vamos a algo mas profundo, ya descubrieron una buena tecnica de ventas, sacan un sistema operativo que funciona mal, para despues vender uno que sirva bien, ejemplo

windows vista - windows 7

ahora sera

windows 8 - windows 9

hay muchas empresas que regresaron el windows 8, y  windows 9 sera el mismo windows 8 pero funcional, es windows... es mercadotecnia y ventas

y lo de hoy es la red social, ¿y que mas podria haber en los nuevos sistemas operativos de windows?, si eres un informatico que solo ve la computadora como un instrumento de trabajo o estudio superficialmente, pues tantas cosas que vienen incluidas te emocionaran y te agradaran, incluso a muchos les servira todo lo que viene incluido

tambien lo menciono como opinion personal, yo me aburro con las redes sociales, por eso me fastidio windows 8 y regrese a windows 7, y odio usar demasiados recursos para cosas que no uso, y tener que desactivar todo me da flojera, y por ejemplo linux va mas con lo que necesito realmente