Bueno el RunPE que postee ayer no aceptaba ejecutables compilados en x64 por lo que estudiando el RunPE de Tracexx me di cuenta
de las diferencias entre ambas arquitecturas.
Para adaptar un RunPe y que funcione para ejecutables compilados para x64:

Código: Seleccionar todo

- Cambiar la estructura "IMAGE_OPTIONAL_HEADER" por su correspondiente para versiones x64 "IMAGE_OPTIONAL_HEADER64"
- Cambiar la Estructura "Conxtext" por su correspontiente para versiones x64
- Cambiar el valor del "ContextFlag" para versiones x86 es 0x10007 y para x64 es 0x100007
- Cambiamos el tipo de memoria a reservar con "VirtualAllocEx" pasa de ser para x86 0x3000 (MEM_COMIT + MEM_RESERVE) y para x64 solo MEM_COMIT 0x1000
- Para cambiar el EntryPoint pasamos de utilizar "EAX" a utilizar "RCX"
- Pasamos de utilizar "EBX" para utilizar "RDX"
- Cambiamos el PEB, utilizando su estructura y las APIS "ReadProcessMemory" para leer la memoria y "WriteProcessMemory" para escribirla, tambien cambiamos la direccion del "ImageBase" por el retorno de la API ""VirtualAllocEx".
Testeado en Windows 7 x64 con la version x64 del CGMiner

Code:

Mostrar/Ocultar

Para que el RunPE funcione logicamente hay que utilizarlo con ejecutables compilados especialmente para x64 y compilar o correr el script en x64

Saludos
Skype: naker.noventa
Buen trabajo capo , esta de lujo , gracias compa
Indetectables RAT v.0.9.5

@Indetectables Team
Responder

Volver a “Fuentes”