Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - t4r0x

#31
Buenas alguien puede ayudarme, estoy intentando compilar la libreria UCL (http://www.oberhumer.com/opensource/ucl/)
en windows con Mingw, se supone que estas son las instrucciones pero no tengo mucha experiencia con archivos makefile

The simplest way to compile this package is:

 1. `cd' to the directory containing the package's source code and type
    `./configure' to configure the package for your system.  If you're
    using `csh' on an old version of System V, you might need to type
    `sh ./configure' instead to prevent `csh' from trying to execute
    `configure' itself.

    Running `configure' takes awhile.  While running, it prints some
    messages telling which features it is checking for.

 2. Type `make' to compile the package.

 3. Optionally, type `make check' to run any self-tests that come with
    the package.

 4. Type `make install' to install the programs and any data files and
    documentation.

 5. You can remove the program binaries and object files from the
    source code directory by typing `make clean'.  To also remove the
    files that `configure' created (so you can compile the package for
    a different kind of computer), type `make distclean'.  There is
    also a `make maintainer-clean' target, but that is intended mainly
    for the package's developers.  If you use it, you may have to get
    all sorts of other programs in order to regenerate files that came
    with the distribution.

#32
Análisis y Diseño de Malware / Problema con RunPE
12 Noviembre 2014, 18:53 PM
Hola a todos, veran tengo un problema con un runpe, yo cargo mi malware usando
CreateProcess (suspendido )luego escribo las secciones con WriteProcessMemory uso GetThreadContext , SetThreadContext y por ultimo ResumeThread hasta ahi todo bien pero ahora estaba cargando un ejecutable que usa GetModuleFileName y el problema es que me retorna la ruta del ejecutable que use como host y no la ruta del programa que cargue dentro de este, como puedo resolver ese problema? espero que me haya dado a entender.
#33
les revisare, gracias por la respuesta.
#34
Entonces no existe algun tipo de mecanismo o alguna manera solo si existe la opcion en el depurador o si alguien ha creado algun plugin? :P
#35
Hola tengo un problema y es que al veces me gustaria cambiar de depurador ( ollydbg -> ida debugger o viceversa) pero cuando cierro el depurador me cierra el programa tambien, existe alguna manera de intercambiar a la hora de depurar un programa?
#36
ASM / Puertos de instruccion IN
15 Octubre 2014, 21:24 PM
Hola estaba leyendo acerca de la instruccion IN / OUT y dice que toma como entrada un
valor del puerto a leer/escribir pero no encontre informacion acerca de los puertos, me
refiero a talvez una lista de cada uno de los puertos y a que dispositivo se relaciona
cada uno... alguien puede publicar esa informacion? gracias!
#37
Cita de: Eternal Idol en 23 Septiembre 2014, 19:38 PM
Como dijiste al principio con salto largo pasando de 0x23 a 0x33 y viceversa.

No sirve para nada saber eso asi que no hace ninguna falta una manera mas confiable (esta implicaria poder leer la GDT), suspendes con SuspendThread y llamas a GetThreadContext .
Bueno en parte era simplemente curiosidad... en otra parte talvez me funcione no lo se... gracias!
#38
Cita de: Eternal Idol en 23 Septiembre 2014, 19:21 PM
Si se puede saltando al otro selector.
No entendi bien podrias explicarme...

Cita de: Eternal Idol en 23 Septiembre 2014, 19:21 PM
No al 100%. Un proceso en si puede ser de 32 o 64 bits, en todo caso los hilos pueden estar en X momento ejecutando codigo en un modo o en otro, solo podrias saberlo si los pausaras pero no veo cual es el objetivo sinceramente, si el tema es saber en que modo se ejecutara TU codigo inyectado la respuesta es muy sencilla: si es un proceso de 32 bits el hilo arrancara en 32 bits.
Bueno en parte es curiosidad en saber en modo de ejecucion de un hilo de un proceso X ( desde mi proceso ) y tambien si es posible
estando ya mi codigo desde ese proceso X. cual seria la manera confable? :P
#39
Cita de: Eternal Idol en 23 Septiembre 2014, 14:38 PM
¿Y como llego tu codigo hasta ese proceso? Si abriste un HANDLE al proceso en cuestion entonces llama a IsWow64Process para saber si tenes que escribir codigo de 32 o 64 bits en el.
Bueno no abro ninguna handle de proceso más bien un handle de hilo ya que inyecto codigo.
Pero IsWow64Process es para saber si el proceso es WOW64... estoy tomando en cuenta que el proceso
es ya WOW64 (32-bits) porque creo que sólo en proceso WOW64 es posible cambiar de procesador...


Cita de: MCKSys Argentina en 23 Septiembre 2014, 17:02 PM
Hola!

Si no quieres usar una API, revisa este post. En especial, la parte donde dice "In long mode the current CS determines if..."

Aqui hay otro link que puede interesarte tambien. Pregunta por Delphi, pero tambien le dan una respuesta usando asm.

Saludos!
gracias, comparando directamente un valor es una manera confiable? :P
y eso de usar IsWow64Process no me funciona aqui, yo no quiero saber si el proceso es de 64bits or 32-bits, lo que quiero es saber el modo en el que se
encuentra un proceso X de 32bits en un Windows de 64bits y si es posible detectarlo mediante un codigo que seria inyectado.
#40
Buenas, segun tengo entendido en Windows x64 se puede cambiar el modo del
procesador usando un JMP FAR, asi que mi duda es si existe alguna manera de saber
el modo actual en el que se encuentra el procesador? talvez usando alguna instruccion
especial. para entederme mejor digamos que tengo mi codigo en un proceso X ahora
para ejecutar mi codigo de forma correcta necesito saber primero el modo en el que se
encuentra el procesador en ese punto porque segun tengo entendido los opcodes del
x86 son diferentes al de x64.

gracias.