Problema al modificar sección .text

Iniciado por Vaagish, 7 Octubre 2014, 19:39 PM

0 Miembros y 2 Visitantes están viendo este tema.

Vaagish

Citar¿El nc.exe es el mismo que esta aca? http://eternallybored.org/misc/netcat/ Con ese no me pasa lo que decis

Ya lo baje, esa version 1.12 pesa un poco mas, (yo tenia la 1.11) A vos no te pasa EI pusiste ahi.. el mio sigue igual..

Debe ser un problema de tamaño y sino dejo la computación y me dedico a la mecánica  :xD

Vos tenes 64bits.. yo 32.. es la única diferencia que noto..

@MCKSys: En ese code no se cambia el tamaño, pero en el otro crypter si, voy a revisar el UPX a ver que trae.. a lo mejor sea agregar una sección mas la solución.. como decís..

Saludos! Gracias!!

Eternal Idol

#21
Cita de: Vaagish en 17 Octubre 2014, 19:25 PM
Ya lo baje, esa version 1.12 pesa un poco mas, (yo tenia la 1.11) A vos no te pasa EI pusiste ahi.. el mio sigue igual..

1290 entry point (00401290)

¿Te sigue pasando con esa version? Vos tomas el ejecutable original, lo pasas por la funcion Crypt y despues el DUMPBIN te dice que cambio el EP. ¿Correcto? No puede ser  ;D Tu codigo no puede ser el mismo, debes estar haciendo algo mas. Lo unico que yo hice fue sumar un miserable main:
Código (cpp) [Seleccionar]
void main(int argc, char **argv)
{
  Crypt(argv[1], argv[2]);
}


Cita de: Vaagish en 17 Octubre 2014, 19:25 PMDebe ser un problema de tamaño y sino dejo la computación y me dedico a la mecánica  :xD

No, de alguna manera estas escribiendo donde no debes, no hay otra forma para que cambie el EP, es un campo en una estructura que no cambia de lugar ... a menos que la estes haciendo apuntar a otro lado  ;D

Cita de: Vaagish en 17 Octubre 2014, 19:25 PMVos tenes 64bits.. yo 32.. es la única diferencia que noto..

El S.O. es 64 si pero originalmente compile el programa en 32 bits, solo lo compile en 64 para ver si asi explotaba, cosa que no hizo.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

Vaagish

#22
Citar1290 entry point (00401290)

¿Te sigue pasando con esa version? Vos tomas el ejecutable original, lo pasas por la funcion Crypt y despues el DUMPBIN te dice que cambio el EP. ¿Correcto?

Mmm.. Si / No.. Resultados de dumpbin:

Antes de cifrar: 1290 EntryPoint
Después de cifrar: 1290 EntryPoint

Según dumpbin queda igual.. pero en ollydbg empieza en 00405822, ademas, si inserto la rutina descifradora, windows dice que "dejo de funcionar" (suponiendo que todo esta bien,,, menos ese maldito EP!)

Yo llamo así a la función (pero uso CommandLineToArgvW):
Código (cpp) [Seleccionar]
Crypt(filenin, ".text");

Igual con una simple pausa puedo ver que los parámetros de Crypt están bien...

EDITO: Tengo otros PE's que NO pasa lo mismo..  :rolleyes:

Eternal Idol

Cita de: Vaagish en 17 Octubre 2014, 20:37 PM
Mmm.. Si / No.. Resultados de dumpbin:

Entonces no tenes ese problema que decis realmente; tendras otro, te recomiendo usar el WinDbg.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón