• _RunPE Version x64

 #450858  por Naker90
 29 Jul 2014, 01:48
Bueno el RunPE que postee ayer no aceptaba ejecutables compilados en x64 por lo que estudiando el RunPE de Tracexx me di cuenta
de las diferencias entre ambas arquitecturas.
Para adaptar un RunPe y que funcione para ejecutables compilados para x64:
Código: [ Debe registrarse para ver este enlace ]
- Cambiar la estructura "IMAGE_OPTIONAL_HEADER" por su correspondiente para versiones x64 "IMAGE_OPTIONAL_HEADER64"
- Cambiar la Estructura "Conxtext" por su correspontiente para versiones x64
- Cambiar el valor del "ContextFlag" para versiones x86 es 0x10007 y para x64 es 0x100007
- Cambiamos el tipo de memoria a reservar con "VirtualAllocEx" pasa de ser para x86 0x3000 (MEM_COMIT + MEM_RESERVE) y para x64 solo MEM_COMIT 0x1000
- Para cambiar el EntryPoint pasamos de utilizar "EAX" a utilizar "RCX"
- Pasamos de utilizar "EBX" para utilizar "RDX"
- Cambiamos el PEB, utilizando su estructura y las APIS "ReadProcessMemory" para leer la memoria y "WriteProcessMemory" para escribirla, tambien cambiamos la direccion del "ImageBase" por el retorno de la API ""VirtualAllocEx".
Testeado en Windows 7 x64 con la version x64 del CGMiner

Code:
Para que el RunPE funcione logicamente hay que utilizarlo con ejecutables compilados especialmente para x64 y compilar o correr el script en x64

Saludos
 #450917  por Blau
 29 Jul 2014, 12:11
¡Fantástico trabajo Naker!
 #450957  por Himanen
 29 Jul 2014, 17:09
Muy bueno Naker! vas a toda ostia y con buena letra
 #450992  por M3
 29 Jul 2014, 19:43
Buen trabajo capo , esta de lujo , gracias compa
 #494267  por vdixsniperzz
 06 Nov 2018, 19:55
Nada no me funciono siempre sale que no es un ejecutable y da igual el exe que sea siempre compilado en x64 ambos archivos
Tested Win10