Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 23
  1. #1
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard Unauffindbar backdoor auf EP datei

    Hallo , erste , meine deutsch nicht so gut ist , zweite mein IT Kenntnisse sehr einfach ist (ich lerne selbst..), .

    so , bin ich seit zwei tage die versuche diese Übung zu machen aber ohne Erfolg.... .

    Meine Rechner ist ein x64 Bit , mein Host ist ein Linux und in VirtualBox have ein windows 7 .

    Mit Lord PE , have ich add eine neu Abschnitt mit der Name "hello" gegeben , und habe 1000 Hex auf Virtual size und Raw size angehaftet , wie auf die Beispiel stehe ...
    dann , mit HxD Hex Editor habe 1000 Hex gegeben .
    dann mit OllyDbg , wenn versuche sie zu öffnen bekomme dieser Warnung : Unable to start file.....

    ich habe diese Probleme gelöst, mein Fehler war wie ich diesen Hexen mit HxD Editor angehaftet habe.....(sorry, aber das ist meine zweite mal der ich mit EP Datei arbeite..) .
    Jetzt mein Probleme ist mit Hijack Execution Flow , der Author sagt "We copy the starting address of .hello section 0047E000" , aber wie ich auf dem Bild sehe , der .hello section , Anfang mit 004002C8 , kann jemand sage wo diese zahl kommt.....


    kann Bitte jemand mir Hilfe um diese Probleme zu Lösung , danke !
    Geändert von mx1238 (19.03.2018 um 12:59 Uhr)

  2. #2
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    so , ich möchte glaube das er Fehler mit der Nummer gemacht hat ...... , In meine PEHeaders habe das , aber wenn ich drück auf PE header bekommen das, dann mache ich was er sagt , und bekomme das .ich denke das ich falsch add habe , aber ich weiss nicht wo.... , so , ich habe geschafft !, ich weiss wo die Nummer 0047E000 kommt.. sie kommt von der VirtualAdresse von "hello" , er hat nach die 004 die Fünf Ziffer von seiner VirtualAdresse gegeben....ich machen weiter...
    Geändert von mx1238 (22.03.2018 um 19:03 Uhr)

  3. #3
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei

    4002a8 ist die Adresse im PE Header wo der Name ".hello" als Text steht. Dies ist nicht die Startadresse der Section. In LordPE siehst du in der Section Table unter VOffset den Wert 0007E000, das addierst du zur ImageBase 00400000 (Sieht man in LordPE im 1. Fenster). Addiert ergibt das 0047E000 und dies ist die virtuelle Startadresse deiner Section wie du sie im Ollydbg findest (STRG+G) wo du den Shellcode einfügen musst.

  4. #4
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Erste viele Dank für deine Antwortet ! , in meine LordPE ich habe keine 0047E000 sonder 63000 , beim 1, Fenster ich sehe keine 00400000 .. sorry... jetzt habe ich ganz oben auf meine Fenster die 00400000 gesehen...... , hast du Lust um mir zu Hilfe ?....ich bin ganz neu mit diesen Sachen ....
    Geändert von mx1238 (22.03.2018 um 20:19 Uhr)

  5. #5
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei


    Hier einmal ein Beispiel wo die ImageBase zu sehen ist. Diese Adresse kann bei dir eine andere sein, nimm den Wert der bei dir steht. 63000 kommt bei dir dadruch zu stande weil die letzte Section (.rsrc) vor deiner (.hello) das VOffset 58000 hat und als VSize AA78. AA78 wird aufgerundet zu B000 (Sections sind im Speicher immer ein vielfaches von 0x1000), wenn du 0x58000 + 0xB000 rechnest ergibt sich 0x63000 womit deine neue Section sich im Speicher direkt hinter der letzten alten Section befindet.

  6. #6
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Jetzt bin hier , wie bekomme das Fenster wo ich die Hex Nummer einfügen soll ? wie auf dem Fenster Added shellcode at the start of .hello section . Mit Msfvenom habe keine Hex (x83\...) Nummer bekommen sonder, fce8820000006089e531c0648...... Vielleicht habe ich bekomme weil ich ein Rechner x64 Bits habe ??
    Geändert von mx1238 (22.03.2018 um 21:11 Uhr)

  7. #7
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei

    Das ist richtig, auf dem Bild siehst du PUSHAD / PUSHFD welches du selbst einfügen musst, danach ab dem CLD siehst du auf der linken Seite FC E8 820000... genau das was du gepostet hast. Nur die ersten beiden Instruktionen sind anders weil die selbst eingefügt werden. Nachdem du den Shellcode eingefügt hast musst du das in umgekehrter Reihenfolge wieder einfügen, das ist das was in dem Artikel beschrieben wird:

    Code:
    PUSHAD
    PUSHFD
    Shellcode....
    POPFD
    POPAD
    Restore Execution Flow...
    Geändert von gORDon_vdLg (24.03.2018 um 14:18 Uhr) Grund: POPAD und POPFD vertauscht.

  8. #8
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    hallo , Entschuldigung warum ich dir frage noch...., so meine Probleme , so , ich habe PUSHAD / PUSHFD mit Assemble Eingefügen ...., habe gleich mit CLD gemacht , aber auf der linken Seite ich sehe 00463002 FC......
    Geändert von mx1238 (23.03.2018 um 15:44 Uhr)

  9. #9
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei

    Das sollst du da ja auch selbst eintragen.

  10. #10
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Wenn ich in Assemble schreibe CLD E8 820000 , sagst; Unknown Identifier , sorryyyyyyy , ich habe Falsch verstandet mit AB dem CLD , Vielleicht ist nach CLD ?..... , sorry ist AB... . Beim Dritte Spaltung Rechte Maus + Binary + Edit , dann habe meine Codec von Msfvenom Eingefügen ...

    Was meinst mit....Restore Execution Flow ? , er meist das ich Ausführung Wiederstellen werde , aber was meinst mit das ??

    Bei Speichen habe auch Probleme ...wenn ich gebe Rechte Maus + copy to executable , bekomme nur Selection , nicht All Changes .Deshalb kann nur Speichen eine Adresse......ich habe eine Lösung gefunden , ich habe mit dem Maus alles auswählen , dann wenn das andere Fenster geöffnet hat , habe alles dort ....

    Aber als ich wieder Öffnet der 7zFMAddedSectionHijacked.exe Datei , kann nicht finde , At the end of the shellcode we see an opcode CALL EBP which terminates the execution of the program after shellcode is executed
    Geändert von mx1238 (24.03.2018 um 13:18 Uhr)

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Aptra XFS unauffindbar?
    Von micha! im Forum Netzwerke
    Antworten: 0
    Letzter Beitrag: 03.08.2010, 16:22

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •