Página 1 de 1
Duda metodo hex
Publicado: 05 Sep 2009, 16:36
por secar
Hola a todos tngo una duda:
Hay alguna forma de saber sin tener qu probar tdas las combinacines de saber en el metodo hexadecimal al cambiar el offset cual seria compatible para no romperlo.
Gracias...
Re: Duda metodo hex
Publicado: 05 Sep 2009, 23:03
por irux
eplicate y con mucho gusto te ayudare
Re: Duda metodo hex
Publicado: 06 Sep 2009, 00:51
por m4rtyr
Hay alguna forma de saber sin tener qu probar tdas las combinacines de saber en el metodo hexadecimal al cambiar el offset cual seria compatible para no romperlo
si hay
por ejemplo si tenemos un offset con E8 lo cambias a E7 o E9. solo le sumas 1 o le haces menos 1
por ejemplo si un offset tiene la letra X lo cambias a x , otro ejemplo secar a SECAR
saludos
Re: Duda metodo hex
Publicado: 06 Sep 2009, 23:56
por Flight embedded
Es como dice el administrador. !Lástima que algunos av ya se hayan avivado, entre ellos, el Nod 32, recuerdo que hace 1 mes, le cambiaba a minúscula la letra "C" de por ejemplo Documents and setting y lo quitaba. Lo mismo con el Mc Affe, cambiaba alguna "T" imprenta por minúscula y adiós Mc Affe, pero ahora todo cambió, se ve que se cansaron de robarles a los clientes cobrandoles un producto tan caro y tan malo. También quitaba la firma del Nod 32 usando el Avfucker, pero ayora ya es cosa perimida.
Re: Duda metodo hex
Publicado: 11 Sep 2009, 15:47
por secar
He estado un poco apartado y no habia podido responder antes.
Muchas gracias.
Re: Duda metodo hex
Publicado: 12 Sep 2009, 11:33
por R-007
Lo que dice m4rtyr suele funcionar a veces... pero piensa lo siguiente:
en realidad con el metodo hex lo que estas haciendo es cambiar el código de una instrucción por otra que no rompa el flujo del programa. con el editor hexadecimal es relativamente fácil ver qué magnitud tiene el cambio que hiciste, viendo su representacion es ASCII.
por ejemplo si ves un caracter ASCII "A" su representación es única porque es un carácter imprimible (y si cambias un bit cambias la letra), pero si ves un caracter 00 o 01 en hexadecimal verás que son iguales (igual que todos los caracteres no imprimibles) y en su representación ASCII verás "." el cuál puedes cambiar por el "." imprimible que es 2E en hexadecimal. Pero cudiado, no todos los caracteres "no imprimibles" se pueden cambiar, puesto que hay retornos de carro o saltos de línea y su código binario es obviamente distinto (es cuestión de tener un poco de suerte).
también puedes aprovechar si hay alguna cadena ASCII que distingas dentro tu firma (con algunos AVs esto no pasa).. como por ejemplo los nombres de alguna .dll o algo así... la cuál podrás cambiar las mayúsculas por las minúsculas y al revés.. y ya habrías modificado la firma.
Un saludo. R-007