|
|
[ SEH @ 10.02.2002. 18:10 ] @
|
| U zadnje se sam se vrijeme nesto malo igrao sa PE headerom i otkrio sam neke super zanimljive stvari koje su najvjerojatnije nedokumentirane Ako i jesu, tada ih ja nisam mogao pronaci. A vjerujte mi da sam procitao hrpetinu dokumentacije.
Uz ovaj post je prilozen mali.exe. To je PE datoteka koju sam pokusao smanjiti najvise koliko sam mogao. Velika je svega 272 bajta. Koristim win98SE i na toj platformi bi trebala raditi bez problema. Prikazuje MessageBox sa porukom "MessageBoxA". Vjerujem da ju je moguce jos vise smanjiti, ali sam ustanovio da je ogranicenje Lodera 260 bajtova. Sve ispod 260 bajtova Loader ne moze pokrenuti kao PE EXE, vec samo kao DOS EXE. Za pocetak bih molio nekoga da je pokusa pokrenuti na nekoj drugoj platformi (pogotovo winNT i win2000 te winXP) i neka odgovori ima li ikakvih problema. Ako Loader prikazuje gresku, neka ispise tocan naziv greske.
Druga, meni puno zanimljivija strana svega ovoga, jest da je mali.exe gotovo nemoguce disasemblirati/debuggirati. Tetirao sam sa w32Dasm, TRW2000, OllyDebug i Borg i svi su pali na testu. Neki su prikazali poruku da je datoteka ostecena. neki su se samo srusili, a TRW2000 je generirao GPF (general protection fault). Ni PEdump, PE-info, PEBrowsePro i slicni preglednici/editori PE datoteka nisu supjeli napraviti nesto korisno. Uglavnom se svi ruse ili prikazu neka sranja. Pokusajte ga debuggirati i disasemblirati sa nekim drugim alatima i javite ako koji uspije dati neke instrukcije. Ne prihvacam hex dump, samo ciste instrukcije koje nesto znace.
|
[ Predrag Damnjanovic @ 11.02.2002. 12:18 ] @
Na XP ne radi, kaze 'mali.exe is not a valid Win32 application'.
[ BobMarley @ 11.02.2002. 21:52 ] @
neradi ni na nt
ista poruka
[ Mikky @ 11.02.2002. 22:00 ] @
kod mene na win 98se radi
[ iant @ 15.02.2002. 15:35 ] @
Win 2000
'mali.exe is not a valid Win32 application'.
[ SEH @ 15.02.2002. 20:12 ] @
Citat: iant:
Win 2000
'mali.exe is not a valid Win32 application'.
Ehm, mislim da sam shvatio sto zelite reci: mali.exe radi samo na win98SE :(
Ovaj sam file postao jer mi se ucinilo da ce biti zanimljiv za ovaj forum. Cini se da se nitko nije potrudio da ga posteno disasemblira/debuggira. Svejedno, ovo spada unutar jednog projekta na kome sad radim. Pa u zelji da ga ucinim portabilnim pozivam sve zainteresirane da mi se jave na mail:
[email protected]
Uvjeti: minimalno znanje asemblera (najbolje win32asm, ali nije uvjet). Pozeljno iskustvo rada sa debuggerima, disasemblerima, TASM-om i NASM-om kako bi se stvar znacajno ubrzala. I dosta slobodnog vremena jer sam vec napisao hrpetinu toga. Inace, projekt je o win32 virusima, ali ne onim glupim makro virusima, nego o opakim EXE infektorima. :) Zaista molim sve zainteresirane da se jave jer posla ima previse, a sam ne mogu sve obavit. [ StratOS @ 27.05.2002. 07:45 ] @
Dobra ti je ta fora sa PE headerom, no nešto drugo me zanima.
call na user32.dll|MessageBoxA
Malo sam se zanimao za taj fajl (_.0c00l_ header by 0c00l), dobar kod ...
Hm, a što se tiče Win2000 exekucije, moram spomenuti, da je exe zagonski i radi, samo se ne smije savati na disk, zagon direktno iz Iexplorera, pa čete dobiti "Access to the specified device, path, or file is denied.", no nisam se točno mučio o kojem fajlu se radi, no mislim da traži fajl \poddirektorij sa istim imenom exe fajla i fajl desktop.ini (\mali.exedesktop.ini), kojeg nema naravno .. Možda se varam, al možna ni ne znam kako to da može da linkuje/proverava (na) taj fajl ?
Dobra stvarčica ...
[ SEH @ 27.05.2002. 19:46 ] @
Negdje sam zagubio kod od ovoga programa, a ni sam ne znam kako sam uspio napraviti da rusi TRW2000 pri pokretanju. Mislim, nije mi problem reversati (273 bajta...pih), ali sta se moze.
Nisam te bas dobro razumio, kazes da radi na win2k, ali samo ako se ne pokrece iz Explorera? Kasnije sam smanjio isti program na 260 bajtova i to je *najmanja* vrijednost PE programa koju Loader na win98 dopusta. Cak sam trebao dodavati nule na kraj da bi konacan fajl imao alignment na 260 bajtova. Najmanji PE win98SE Hello World na svijetu :)))
Ne znam kakve nuspojave program ima na NT-kernel baziranim OS-evima (valjda zato jer Loader ne dopusta sve one silne perverzije koje sam radio sa PE hederima), ali mogu baciti sors ako te bas zanima.
BTW, imam i tute napisan o tome, ali to ce tek izaci za jedno mjesec dana...
[ StratOS @ 27.05.2002. 21:46 ] @
Nismo se razumjeli ..
ako otvoriš http://www.elitesecurity.org/p...on=getfile&MessageID=47097 i onda otvoriš recimo preko IE shell-a ("You are downloading mali.exe from www.elitesecurity.org ...Would you like to open or save it to save it to your computer ?" Otvoriš naravno) ... Authenticode signature not found ... da da i onda run programa i MsgBox "Access to the specified device, path, or file is denied." ..
Hm i mene malo ovo interesira, pa mi možeš poslati mail ...
Radi na Win2000 Sp2 2195 sa IE 6.00.2600.0000 ako radite po gornjem uputstvu ..., možda samo zbog IE shella, jer ako ga sahraniš na disk onda več znano 'mali.exe is not a valid Win32 application'.
Stvarno bi bilo malo dobro ovo razraditi ... jer "radi" trenutno samo na IE shellu [ StratOS @ 06.06.2002. 19:53 ] @
A zašto F-Secure tretira file kao possible virus ???
Stupid one 
.... da i dobio sam XP, cool cool coool
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|