Author Topic: EPO na API (Read 1091 times)

Conflict · « **on:** July 21, 2006, 09:49:27 PM »

Zdar,
chcu do Dropper_Creator nacpat Entry Point Obscuring.
Nynejsi verze prepise na EP prvnich 5bajtu jumpem, ktery skoci do myho kodu.
Jak mam udelat, aby se muj kod spustil az pri zavolani naky API(napr. ExitProcess) ??

vdaka

Master · « **Reply #1 on:** July 22, 2006, 12:09:06 AM »

Jedine nejakym hookem,nebo upravit si api tak,ab to poslalo nejakou zpravu a tu pak odchytit,ale tak i tak,budes to muse hookovat.

Conflict · « **Reply #2 on:** July 22, 2006, 08:40:48 AM »

Jak hookovat? Jak vyhledam to misto na hookovani?

llAmElliK · « **Reply #3 on:** July 22, 2006, 10:26:25 AM »

Quote from: Conflict

Jak hookovat? Jak vyhledam to misto na hookovani?

Zkus nechat ty API vyhledat ordinalne...(resp. jejich ord.hodnotu)

Conflict · « **Reply #4 on:** July 22, 2006, 12:41:20 PM »

No jo, ale ta ordinalni hodnota se bude lisit v XP, 2k...
Jak funguje Import Table? Nemohl bych najit v IT tu API, kterou chcu a pak vyhledat CALLy a JMPy, ktery na ni ukazujou?

Master · « **Reply #5 on:** July 22, 2006, 06:13:29 PM »

Ja zkousel neco podobnyho do toho crackme.Dal sem si exportovat primo funkci v exe a pak sem si nasel pomoci getprocaddress adresu te funkce.Akorat je tam problem,ze kdyz to mas v exe,tak nemuzes volat funkci,ktera vola nejake api,proto?e to ho exception.

Z!L0G80 · « **Reply #6 on:** July 23, 2006, 10:04:21 PM »

Quote from: Conflict

Zdar,
chcu do Dropper_Creator nacpat Entry Point Obscuring.
Nynejsi verze prepise na EP prvnich 5bajtu jumpem, ktery skoci do myho kodu.

nebylo by lepsi prepsat EIP (v header) na zacatek tveho code a apak zpet jmp na original code?

Quote

Jak mam udelat, aby se muj kod spustil az pri zavolani naky API(napr. ExitProcess) ??
vdaka

no tak pokud ten exac ten ExitProces importuje tak bych natvrdo prepsal tu adresu v IAT na adresu meho code(user hook)
jestli je to picovina tak me zabij

Conflict · « **Reply #7 on:** July 24, 2006, 07:23:51 AM »

nechcu menit EP v header , protoze pri zavedeni do olly to hlasi ze je pritomen packer. je jednoduchy zjistit ze je s Exe neco v neporadku.

V importech se neda natvrdo prepsat adresa na muj kod. Aspon myslim :confused:
1. Nejprve se musi v importech najit misto kam loader uklada adresu API.
2. Nasleduje proscanovani celyho exe na FF25 xxxx = JMP DWORD PTR[]. Snad tuhle instrukci pouziva vetsina compileru. Mam vyzkouseno VB, Tasm, Delphi.
3. Nejspis prepis FF25 na E8 nebo E9.

ja cu EPO, tak bude EPO.

Conflict · « **Reply #8 on:** July 24, 2006, 12:50:56 PM »

Tak, DropperCreator je obohacen o EPO.

Zatim funguje jen na ExitProcess. Pokud bude casem cas rozsirim o vyber kterykoliv API(ktera je v targetu, heh).

Conflict · « **Reply #9 on:** July 28, 2006, 12:11:12 PM »

Hotovo
EPO na jakoukoliv API, ktera je v exe

navod:
1. droppnete nakou hudbu
2. EPO na BeginPaint :rolleyes:

Prosim otestovat.

dik

Conflict · « **Reply #10 on:** May 31, 2007, 04:22:44 PM »

...

Quote

Z80:
no tak pokud ten exac ten ExitProces importuje tak bych natvrdo prepsal tu adresu v IAT na adresu meho code(user hook)
Conflict:
V importech se neda natvrdo prepsat adresa na muj kod. Aspon myslim

Jde to.

RE FORUM

News:

Author Topic: EPO na API (Read 1091 times)

Conflict

EPO na API

Master

Re: EPO na API

Conflict

Re: EPO na API

llAmElliK

Re: EPO na API

Conflict

Re: EPO na API

Master

Re: EPO na API

Z!L0G80

Re: EPO na API

Conflict

Re: EPO na API

Conflict

Re: EPO na API

Conflict

Re: EPO na API

Conflict

Re: EPO na API