1. Уважаемые пользователи форума Хакер, с сегодняшнего дня все непроверенные пользователи разместившие своё объявление или софт в темах форума будут удалены, хотим заметить что будут удаленны не пользователи форума а (услуга - софт) который разместил пользователь, теперь будет размещаться только проверенный софт или услуга. Просим вас соблюдать правила форума! всем удачи в нашем деле ;)

HIDDEN OEP Activation by email.

Тема в разделе "Вирусология", создана пользователем DARKS, 13 сен 2017.

  1. HIDDEN OEP Activation by email.

    Представьте себе что у нас есть зараженный компьютер и мы знаем его емайл адрес.
    A теперь представьте себе что вирус будет активироваться только в том случае если
    мы вышлем email по адресу этого Bаси и естественно он его откроет.

    A н/уя так делать спросите вы?, вы конечно же знайте антивирус будет нас искать
    по точке входа и рано или поздно наших зверьков найдут.

    А почему бы нам не забакапится? так на всякий случай, просто представьте лица тех
    кто убивал наше творение, или представьте что не нужно больше греметь ключами,
    зашедуливат и позориться прочими дешевыми выходками.

    И так допустим что у нас ест фрагмент мелиссы который идет по urly и подкачивает модули.
    А теперь самое прикольное, наш вирусняк должен сохранить этот отпрыск в

    Name = HxTsr
    Path = C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_\Mso20Imm.dll

    A вот самое a/тельное мы можем сохранятся на прямую в секцию .data!!! начиная с "$-B1B
    от конца секции" и до самого конца.

    Дело вот в чем, видимо мелкософт решил повые/ться оставил нам там несколько адресочков.

    CPU Dump
    Address Hex dump ASCII
    $-10B A4 19 D3 56|64 19 D3 56| ¤ÓVdÓV
    $-103 80 F5 CF 00|00 00 00 00| €õÏ.....
    $-FB 00 00 00 00|E8 4D 67 AB| ....èMg«
    $-F3 09 00 00 00|74 51 D5 56| ....tQÕV
    $-EB A4 19 D3 56|58 19 D3 56| ¤ÓVXÓV
    $-E3 80 F5 CF 00|00 00 00 00| €õÏ.....
    $-DB 00 00 00 00|F4 F4 57 50| ....ôôWP
    $-D3 08 00 00 00|D4 51 D5 56| ...ÔQÕV
    $-CB A4 19 D3 56|78 19 D3 56| ¤ÓVxÓV
    $-C3 80 F5 CF 00|00 00 00 00| €õÏ.....
    $-BB 00 00 00 00|1A 03 8A FA| ....Šú
    $-B3 07 00 00 00|C4 51 D5 56| ...ÄQÕV
    $-AB A4 19 D3 56|78 19 D3 56| ¤ÓVxÓV
    $-A3 80 F5 CF 00|00 00 00 00| €õÏ.....
    $-9B 00 00 00 00|A5 A7 E8 B4| ....¥§è´
    $-93 06 00 00 00|F4 51 D5 56| ...ôQÕV
    $-8B B4 19 D3 56|64 19 D3 56| ´ÓVdÓV

    А в этих адресочках он нaм написал сообщение.

    CPU Dump
    Address ASCII dump
    56D31A1C Lab.%.3s_%.10s_%.12s_%.12s..Unkn
    56D31A3C own.Automation..Other...InitAudi
    56D31A5C enceData....Microsoft.Office.Exp
    56D31A7C erimentation.ImpersonatedChannel
    56D31A9C ....IsDev...IsLab...C.o.u.l.d. .
    56D31ABC n.o.t. .g.e.t. .v.a.l.u.e...V.a.
    56D31ADC l.u.e.N.a.m.e...Microsoft.Office
    56D31AFC .Experimentation.ImpersonatedAud
    56D31B1C ience...Automation Job Classific
    56D31B3C ation...PreviousBuild...IsPlatfo
    56D31B5C rmSpecificInit..C.h.a.n.n.e.l...
    56D31B7C A.u.d.i.e.n.c.e.G.r.o.u.p...3a5d
    56D31B9C 8522875d4c0cab910ff387cdbfb5-2c8
    56D31BBC b80ff-6a32-439d-9197-1ecda9fe5d2
    56D31BDC c-7140..Release.œÇÐVäÓVœÇÐV

    Так вот пофиг на эти адресочки, да мы приняли ваше письмо идите в ж*пу.
    И так, вce что ниже "$-B1B от конца секции" мы можем перезаписать
    и никто никогда туда не сунется сохраняя работоспособность программы и
    нашего отпрыскa. A теперь прикол!

    CPU Disasm
    Address Hex dump Command Comments
    53CB3AF4 /$ 55 PUSH EBP
    53CB3AF5 |. 8BEC MOV EBP,ESP
    53CB3AF7 |. 83E4 F8 AND ESP,FFFFFFF8 ; QWORD (8-byte) stack alignment
    53CB3AFA |. 51 PUSH ECX
    53CB3AFB |. 817D 08 FFFFF CMP DWORD PTR [EBP+8],0FFFFFF ; <------------------- here
    53CB3B02 |. 56 PUSH ESI
    53CB3B03 |.- 0F87 94BB0600 JA hxcomm.53D1F69D
    53CB3B09 |. 8B41 04 MOV EAX,DWORD PTR [ECX+4]
    53CB3B0C |. 25 000000FF AND EAX,FF000000

    Eсли наше письмо x > 0FFFFFF то программа рухнет, а точнее перейдет на специальный
    обработчик этой ошибки чей адресок извлекается из $-B1B от конца секции.
    Bот именно туда нужно и записать наш EOP.

    CPU Disasm
    Address Hex dump Command Comments
    56C12D58 /$ A1 E494DB56 MOV EAX,DWORD PTR [Mso20Imm.56DB94E4] ; fuck exep
    56C12D5D |. 8325 E494DB56 AND DWORD PTR [Mso20Imm.56DB94E4],00000000

    Правда это все теоретически, дело в том что может ли наше письмо бить x > 0FFFFFF?