RE FORUM

[REVERSE ENGINEERING] => Programming => Topic started by: Conflict on July 21, 2006, 09:49:27 PM

Title: EPO na API
Post by: Conflict on July 21, 2006, 09:49:27 PM

Zdar,
chcu do Dropper_Creator nacpat Entry Point Obscuring.
Nynejsi verze prepise na EP prvnich 5bajtu jumpem, ktery skoci do myho kodu.
Jak mam udelat, aby se muj kod spustil az pri zavolani naky API(napr. ExitProcess) ??

vdaka

Title: Re: EPO na API
Post by: Master on July 22, 2006, 12:09:06 AM

Jedine nejakym hookem,nebo upravit si api tak,ab to poslalo nejakou zpravu a tu pak odchytit,ale tak i tak,budes to muse hookovat.

Title: Re: EPO na API
Post by: Conflict on July 22, 2006, 08:40:48 AM

Jak hookovat? Jak vyhledam to misto na hookovani?

Title: Re: EPO na API
Post by: llAmElliK on July 22, 2006, 10:26:25 AM

Quote from: Conflict

Jak hookovat? Jak vyhledam to misto na hookovani?

Zkus nechat ty API vyhledat ordinalne...(resp. jejich ord.hodnotu)

Title: Re: EPO na API
Post by: Conflict on July 22, 2006, 12:41:20 PM

No jo, ale ta ordinalni hodnota se bude lisit v XP, 2k...
Jak funguje Import Table? Nemohl bych najit v IT tu API, kterou chcu a pak vyhledat CALLy a JMPy, ktery na ni ukazujou?

Title: Re: EPO na API
Post by: Master on July 22, 2006, 06:13:29 PM

Ja zkousel neco podobnyho do toho crackme.Dal sem si exportovat primo funkci v exe a pak sem si nasel pomoci getprocaddress adresu te funkce.Akorat je tam problem,ze kdyz to mas v exe,tak nemuzes volat funkci,ktera vola nejake api,proto?e to ho exception.

Title: Re: EPO na API
Post by: Z!L0G80 on July 23, 2006, 10:04:21 PM

Quote from: Conflict

Zdar,
chcu do Dropper_Creator nacpat Entry Point Obscuring.
Nynejsi verze prepise na EP prvnich 5bajtu jumpem, ktery skoci do myho kodu.

nebylo by lepsi prepsat EIP (v header) na zacatek tveho code a apak zpet jmp na original code?

Quote

Jak mam udelat, aby se muj kod spustil az pri zavolani naky API(napr. ExitProcess) ??
vdaka

no tak pokud ten exac ten ExitProces importuje tak bych natvrdo prepsal tu adresu v IAT na adresu meho code(user hook)
jestli je to picovina tak me zabij :D

Title: Re: EPO na API
Post by: Conflict on July 24, 2006, 07:23:51 AM

nechcu menit EP v header , protoze pri zavedeni do olly to hlasi ze je pritomen packer. je jednoduchy zjistit ze je s Exe neco v neporadku.

V importech se neda natvrdo prepsat adresa na muj kod. Aspon myslim :confused:
1. Nejprve se musi v importech najit misto kam loader uklada adresu API.
2. Nasleduje proscanovani celyho exe na FF25 xxxx = JMP DWORD PTR[]. Snad tuhle instrukci pouziva vetsina compileru. Mam vyzkouseno VB, Tasm, Delphi.
3. Nejspis prepis FF25 na E8 nebo E9.

ja cu EPO, tak bude EPO.

Title: Re: EPO na API
Post by: Conflict on July 24, 2006, 12:50:56 PM

Tak, DropperCreator je obohacen o EPO. :)
Zatim funguje jen na ExitProcess. Pokud bude casem cas rozsirim o vyber kterykoliv API(ktera je v targetu, heh).

Title: Re: EPO na API
Post by: Conflict on July 28, 2006, 12:11:12 PM

Hotovo
EPO na jakoukoliv API, ktera je v exe

navod:
1. droppnete nakou hudbu
2. EPO na BeginPaint :rolleyes:


Prosim otestovat.

dik

Title: Re: EPO na API
Post by: Conflict on May 31, 2007, 04:22:44 PM

...

Quote

Z80:
no tak pokud ten exac ten ExitProces importuje tak bych natvrdo prepsal tu adresu v IAT na adresu meho code(user hook)
Conflict:
V importech se neda natvrdo prepsat adresa na muj kod. Aspon myslim

Jde to.