Ir para conteúdo

teuzero

Membros
  • Postagens

    12
  • Registro em

  • Última visita

  • Dias Ganhos

    3

Conquistas de teuzero

3

Reputação

  1. https://github.com/TeuZero/PeRuntimeCrypterX64-NASM Mais umas de minhas ideias loucas, Só funciona com MessageBoxA mesmo, claro poderia escrever mais endereços. Há outras formas de fazer isso, mais essa foi a mais fácil pra mim. Só estudando,não quero ofuscar nada, a ideia era só injetar mesmo, vlw galera é só isso.🙃, T0.exe
  2. é eu vi que a realocação tem muitas coisas desnecessária, eu vi que virtualprotectex não esta vindo o tamanho da seção certa nem as permisssões... de certo é só fazer o va dos endereços e copiar os códigos para o endereço e dar permissão.
  3. A final começei lendo seu livro de assembly , mais não terminei! está escrito tudo certinho.. ta de parabéns! vlw!
  4. Muito obrigado pela correção e pela dica.😃
  5. Muito Obrigado, só tenho que agradeçer! default rel não entendi. " mov ebx,[eax] ; RBX inteiro é inicializado e EAX está errado aqui." eax seria, algo como dword [rax+offset]? prefixo R é melhor ne ai não fica dados no registrador.
  6. Montei um crypter x64 pequeno basico dos basicos usando nasm, eu gosto de estudar assembly, C/C++. É um "Process hollowing" na gambiarra, mais é só para estudo mesmo. Está no github: https://github.com/TeuZero/BasicCrypterX64-NASM Eu tenho um blog onde posto algumas coisas, https://c0d3r3d.blogspot.com/ Gosto muito de aprender com outras pessoas. Quem quiser dar uma olhada no código, comentar, sugestões, criticas, fiquem avontade, estou aqui para aprender. Muito Obrigado.
  7. Então um cara me mandou um arquivo compilado .net feito em c#, mais ele afirma com toda certeza que não tem nada malicioso, ele só disse que tem um anti-decompiler e um form, usei jetBrains e tem um monte de lixo lá e como achar agulha no palheiro, porque eu nunca fiz analise de arquivo .net, cheguei abrir o xdbg e vi que ele usa CreateNamePipe, recebe dados de conexão com função recv, vi comparando todas teclas do teclado.No jetBrains vi uma parte usando socket mais só achei o ip 127.0.0.1. Se for possivel dar uma ajuda de como analisar um binario desse eu agradeço: WareProject.exe
  8. Consegui patched: crackne_levelxP4ta3h3d.exe
×
×
  • Criar Novo...