Mensajes

Sí creando una ventana hija estaría bien. con CreateWindow, estableces un WndProc (SetWindowLongptr), creas los controles, etc.
Using Windows:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms632598(v=vs.85).aspx

@RMax:
Este no es HackPerro o algún otro foro lleno de scriptkiddies, para publicar este tipo de programas debes de publicar el código fuente de lo contrario va contra las reglas. cuando lo hagas voy seré uno de los primeros en corregirte en errores que encuentre en el código.

Todas la paginas de escaneo "gratis" que dicen no enviar las muestras no esperes fiarte de un simple texto, a menos que tenga algun tipo de contrato en donde les puedas joder si miras a algun researcher de algun compañia con tu malware sino simplemente te estas fiando de un simple texto.

@UND3R:
La dirección de la pila no depende de la versión de Windows, ni del idioma, o algo que tenga que ver. El kernel es el que determina donde la memoria será reservada, ya que en la inicialización del proceso casi toda la memoria de modo usuario es disponible, es por eso que generalmente la dirección no varia mucho. Esto más bien se basa en asuntos como tamaño de la memoria a reservar, attributos, etc.

Uno mismo puede comprobarlo haciendo lo siguiente: Añadir el depurador al proceso explorer.exe, breakpoint en NtCreateProcess/NtCreateProcessEx/NtCreateUserProcess, abrir algun programa como notepad.exe o cualquier otro, el depurador parará en el bp, dejar que la función se ejecute, ahora crear 500-1000MB de memoria virtual en bloques de 1MB cada uno ( con el depurador o alguna herramienta como CheatEngine), ahora permitir que la inicialización del proceso (notepad.exe) sea completada, comprobar la dirección de la pila del hilo principal del proceso.

Hola comunidad, tengo una duda que me ronda la cabeza y por mas que intento aplicarle la lógica no lo consigo. Dicha duda consiste en el uso de findjsp.exe he leido muchos textos que hacen uso de esta herramienta entre ellos la explicación que aquí se detalla:

http://foro.elhacker.net/bugs_y_exploits/herramientas_findjmp_offsets_etc_actualizado-t101215.0.html

Yo lo que tengo entendido que se utiliza para obtener la dirección(offset) de una instrucción JMP ESP que hace uso la aplicación o una librería(dll) del software que se esta explotando.

Con dicha instrucción tenemos que sobrescribir EIP en la pila, de modo que cuando este registro vaya a ejecutar esta instrucción accederá a la cima de la pila(ESP) a ejecutar lo que alli tengamos(en el caso mas común una shellcode), hay viene mi duda. Por que forzar a sobrescribir el EIP con ese ofset para que este acceda a la pila a ejecutar la shellcode?

Se que mas o menos lo entiendo pero no se si sera mi mente pero no lo llego a entender  al 100% todo esto, así que si alguien fuera capaz de hacérmelo ver de una manera sencilla (for dummies)

Gracias de antemano.

Lo que preguntas es simple, te lo responderé igual de simple. Es porque generalmente es una manera cómun de ejecutar lo que se encuentre en la pila directamente, de lo contrario tendrás que arreglarte para ejecutar lo que se encuentre en la pila buscando otro conjunto de instrucciónes que te ayuden para hacerlo algo como:
MOV EBP,ESP
JMP EBP
Y miles de otras formas de hacerlo, claro que algunas no son comunmente generadas por compiladores.

De nadas 

[Syntax Error]

Creo que lo tomaste en contra, y de hecho, el comentario mio fue apoyando el tuyo...

Yo no he dicho que en un futuro muy lejano pueda pasar... pero por ahora, Syntax Error.

Además, creo que estás confundiendo algunas cosas... VC++ no es el único compilador que hay... GCC es uno muy bueno.

Sí y es que nisiquiera leiste bien para darte cuenta de que digo:

por ejemplo VC++

No entiendo tu ira hacia C/C++ o los inversionistas de VC++... es un estupendo lenguaje, ¿por qué intentar compararlo con otros? Cada uno tiene lo suyo y aporta algo a la informática... aunque odie a VB, me temo que cada cual tiene sus pro y sus contra y en diferentes ambientes será mejor uno u otro... ¿por qué esa necesidad de decirle al mundo que debe existir un lenguaje maestro?... la informática aún está libre de dogmas y deidades...

¿Qué odio? Yo no veo odio en lo que dijo. Lo que veo yo es un punto de visto valido, lo siento si alguien no puede nisiquiera notarlo.

-

Mas optimizado.... no mas rapido...


El decir "que rust llegue a ser mas rapido que c" es un poco como tratar de decir "que sea mas rapido que asm" el trato de tan bajo nivel de C lleva a un manejo muy directo del procesador... y bueno seguir hablando sobre esto, seria repetir lo que ya dijeron...

Si, podría llegar cerca de la velocidad de c++ y tal vez para ciertas estructuras superarlo, pero si no tiene un nivel tan bajo nada se hace, y si se hace otro a nivel de c++ no es mas que un c++ con palabras y sintaxis diferentes, pero estructuras similares

engel lex, ¿Cómo es que podes llegar a comparar en la rapidez de código C con código ensamblador?

use la función GetModuleFileNameEx pero no me retorna nada y es con el mismo proceso que había probado no se si he hecho algo mal.

Código (cpp) [Seleccionar] Expandir


TCHAR lpFileName[MAX_PATH];

ZeroMemory(&lpFileName, sizeof(lpFileName));

GetModuleFileNameEx(hProcess, NULL, lpFileName, sizeof(lpFileName)/sizeof(*lpFileName))


Código [Seleccionar] Expandir


    TCHAR lpFileName[MAX_PATH+1];

    ZeroMemory(lpFileName, sizeof(lpFileName));

    GetModuleFileNameEx(hProcess, NULL, lpFileName, sizeof(lpFileName) / sizeof(lpFileName[0]));



Fijate en la documentación de GetModuleFileNameEx el handle debe tener un determinado acceso al proceso para que eestá función retorne la información.

EI: 

Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:

FIRMA
FIRMA
FIRMA
SIGUE CODIGO
FINAL CODIGO

quedaría
FIRMA
JMP FINAL CODIGO
FIRMA
FIRMA
JMP SIGUE CODIGO


Saludos y suerte

Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.

[@x64Core:]

@x64Core: ¿Sabes?, opina lo que te venga en gana, gente dañina como vos sobra... recuerdo que hace años me retiré del foro por gentuza como vos, pero esta vez no les daré el gusto nuevamente... sigue en tu burbuja de superioridad, sabiduría y eruditismo prepotente y ufano... cuando aprendas a diferenciar entre una sugerencia y una obligación, vienes a intentar mostrar tus habilidades supersaiyajinas y tus súper críticas meramente objetivas... Qt es y será siendo una gran herramienta, tu opinión no le quita fuerza, reputación ni mérito, no sos nadie a fin de cuentas.

Hasta nunca, oh gran programador anónimo crítico y objetivo... All Hail!

Lo más comico de tus respuestas es la manera en que intentas argumentar escribiendo cosas como "supersaiyajinas".
No te preocupes, si sales corriendo ahora mismo te apuesto a que menos personas se daran cuenta. Y al menos yo no necesite crear más cuentas para cambiarme de nickname lo cual no me costaba nada.

[sugiero]

A ver, mejor paramos el talionismo inmaduro... que no lleva a nada.

¿A quién le importan TUS interfaces?, el usuario pide ayuda en cuanto a la WinAPI, yo sugiero un framework ¡como offtopic encima!, y de una vez saltas a criticarla, ¿quién te crees? primero le recomiendas usar la WinAPI porque es de eruditos conocedores de Windows, y ahora que use C#, Delphi, VB.NET para interfaces ¿sólo porque vos lo haces y no tienes argumentos en contra de Qt?, ¿a qué juegas?

Sí, como vos mismo decis, el usuario pidio ayuda acerca de como usar WinAPI, él nunca pidio recomendación de alguna framework. Y además ¿podes indicarme donde yo le dije al usuario que mejor programe en otro lenguaje? Dije que yo prefiero programar mis interfaces en otros lenguaje en lugar de usar Qt. ¿Podes al menos entender eso?. Y no es de tener algo en contra de Qt, es de saber responder, nadie sabe incluso porqué el usuario quiere usar Win32, la WinAPI no es dificul de usar si no lo sabias.

¿Que si Qt agrega unos cuantos MB a un ejecutable por el simple hecho de incluir una librería bastante completa para el diseño de objetos? ¿dónde está el crimen? ¿ahora Nokia debe sufrir el Dantismo porque a vos no te gusta que agregue unos megas a un ejecutable? Qué quedará para los proyectos de peso si se preocupan por algo tan banal como unos cuantos megas como precio a pagar por simplificar la tarea de crear interfaces...

Vaya argumento más débil, si a vos te gusta reinventar la rueda, te felicito, pero si hay herramientas disponibles y con el soporte de una empresa y comunidad entera, ¿por qué no usarlas?, en la informática hay que buscar soluciones, no problemas... que vos no sepas usar el framework correctamente, no quiere decir que esté lleno de errores.

Además, prefiero Qt con OpenSource a Microsoft con Copyright...

Sí, y en realidad el que está reinventado la rueda es Qt, cuando Window ya tiene sus propias fuciones nativas para trabajar. Además de que ya existen frameworks especialemente para Windows, que mejor framework creada que una creada por el mismo creador para la plataforma en la que se esta trabajando, ya que si Microsoft decide cambiar/agregar/eliminar la funcionalidad de algunos objetos en Windows los usuarios de Qt deberán esperar por una actualización.

Además zShackra, ¿cómo podes argumentar que Qt es lo mejor es todo los casos? el usuario podria querer saber como Windows funciona y prefiere usar la WinAPI, asi porqué no te limitaste a responder acerca de lo que el usuario pidio ayuda, tus "offtopics" podes guardartelos para otro dia.

-
Y zShackra, deja de desviar el tema, si no te gusta usar la WinAPI o nada que tenga que ver con Microsoft porqué respondes temas de Win32?