send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[FASM] Ascii85 decode

  • 0 Respuestas
  • 1809 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Karcrack

  • *
  • Underc0der
  • Mensajes: 87
  • Actividad:
    0%
  • Reputación 0
  • Se siente observado ¬¬'
    • Ver Perfil
« en: Junio 16, 2013, 06:13:38 pm »
Código: ASM
  1. include 'win32ax.inc'
  2. entry main
  3.  
  4. section '.code' executable writeable readable
  5. main:
  6.         mov  esi, _enc
  7.         mov  edi, esi
  8. .m:     push 5
  9.         pop  ecx
  10.         xor  edx, edx
  11. @@:     imul edx, 85
  12.         xor  eax, eax
  13.         lodsb
  14.         sub  al, 33
  15.         jl   @F
  16.         add  edx, eax
  17.         loop @B
  18.         bswap edx
  19.         mov  eax, edx
  20.         stosd
  21.         jmp  .m
  22. @@:_enc:db "OH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH>QcOH?t2'*&$M",0    

Básicamente decodifica la cadena Ascii85 (AKA base85) y la ejecuta. Para generar la cadena en base85 uso este script en Python:
Código: Python
  1. import struct
  2.  
  3. def b85encode(arr):
  4.     text = ''.join(map(chr,arr))
  5.     l = len(text)
  6.     r = l % 4
  7.     if r:
  8.         text += '\0' * (4 - r)
  9.     longs = len(text) >> 2
  10.     out = []
  11.     words = struct.unpack('>' + 'L' * longs, text[0:longs*4])
  12.     for word in words:
  13.         rems = [0, 0, 0, 0, 0]
  14.         for i in range(4, -1, -1):
  15.             rems[i] = chr((word % 85)+33)
  16.             word /= 85
  17.         out.extend(rems)
  18.  
  19.     return ''.join(out)
  20.  
  21. print b85encode([0x90]*54 + [0xB8, 0x37, 0x13, 0x00, 0x00, 0xC3])

saludos
I code for $$$.

(PGP ID 0xCC050E77)
ASM, C, C++, VB6... skilled [malware] developer

 

¿Te gustó el post? COMPARTILO!



[FASM] Simple Memory Code Injection

Iniciado por ANTRAX

Respuestas: 0
Vistas: 2387
Último mensaje Junio 05, 2012, 04:43:46 pm
por ANTRAX
[FASM] Download & Execute

Iniciado por ANTRAX

Respuestas: 0
Vistas: 4015
Último mensaje Abril 12, 2012, 10:47:20 am
por ANTRAX
Subclasificando una ventana FASM

Iniciado por linkgl

Respuestas: 0
Vistas: 2280
Último mensaje Diciembre 24, 2012, 08:08:49 pm
por linkgl
[FASM] Downloader

Iniciado por k0ws

Respuestas: 4
Vistas: 2755
Último mensaje Mayo 19, 2013, 04:24:27 pm
por mr.blood
[FASM] UDP Flooder

Iniciado por ANTRAX

Respuestas: 0
Vistas: 2167
Último mensaje Abril 12, 2012, 11:07:34 am
por ANTRAX