PHP Forum - Coding Board
Januar 19, 2018, 06:31:18 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News:
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
Seiten: [1]
  Drucken  
Autor Thema: ImageBasen der "üblichen" Malware  (Gelesen 272 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
EBFE
Full Member
***
Beiträge: 109


Profil anzeigen E-Mail
« am: März 20, 2009, 02:32:31 »

Ich suche Imagebasen der "üblichen" Trojaner/Stealer usw.
Wäre nett, wenn jemand diese nachschlägt (einfach mit LordPE/PETools/CFFExplorer öffnen und den "ImageBase" Wert kopieren) und postet. Optimal wären natürlich "original" Basen  - also nicht von gecrypteten/protected Exen Smiley
Gespeichert

PM an mich? Bitte vorher lesen: EBFEs PM FAQ
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #1 am: März 20, 2009, 02:34:56 »

$13140000 ist eine beliebte ImageBase, wenn die Maleware Thread / Code Injection verwendet. Ansonsten werden die meisten Tools auch einfach $00400000 haben. Werde gleich zu Hause mal genau nachschauen ..
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #2 am: März 20, 2009, 03:28:54 »

Gespeichert

» xor byte ptr [edi+78], al
Zacherl
Entwickler Team
Moderator
Sr. Member
****
Beiträge: 454



Profil anzeigen E-Mail
« Antworten #3 am: März 20, 2009, 04:09:30 »

Es gibt eine CodeInjection Methode in Delphi, die recht weit verbreitet ist, bei der man die komplette eigene EXE in den Prozessraum des Zielprozesses bringt und dann die eigentliche Funktion innerhalb der eigenen EXE aufruft. Damit nichts durcheinander komm, sollte die ImageBase möglichst hoch sein, wenn man nicht mit die Relocations alle parsen und manuell anpassen will. $13140000 ist so die Standardbase die in den entsprechenden Demos angegeben wird.
Gespeichert

f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #4 am: März 22, 2009, 07:43:33 »

Ja, die Methode ist mir bekannt. Natürlich denken die Kinder wohl nicht mit und belassen es bei der ImageBase - ohne zu wissen, welche anderen Bases sie verwenden könnten. Ob man sich auf dieses Verhalten verlassen kann, ist eine andere Sache. Smiley
Gespeichert

» xor byte ptr [edi+78], al
Steiger_mp
c0derz Admin
Second Level
Jr. Member
**
Beiträge: 86



Profil anzeigen E-Mail
« Antworten #5 am: März 24, 2009, 06:44:49 »

Gespeichert
Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #6 am: März 24, 2009, 06:48:47 »

Warum eig $13140000? Die IMB muss doch eig so hoch wie möglich sein um Komplikationen vorzubeugen... (oder habe ich unrecht?)
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
Steiger_mp
c0derz Admin
Second Level
Jr. Member
**
Beiträge: 86



Profil anzeigen E-Mail
« Antworten #7 am: März 24, 2009, 06:54:15 »

$13140000 ist die standard IMB einer processinjection in delphi.
Standard jedoch nicht von allgemein, sondern "zufällig" festgelegt und von kiddys nicht verändert^^
Gespeichert
EBFE
Full Member
***
Beiträge: 109


Profil anzeigen E-Mail
« Antworten #8 am: März 24, 2009, 07:30:58 »

Zitat von: Slayer616;16849
Warum eig $13140000? Die IMB muss doch eig so hoch wie möglich sein um Komplikationen vorzubeugen... (oder habe ich unrecht?)
Naja, wenn man keinen Bock hat, eine adressunabhängige Injection zu schreiben, legt man eben eine unübliche Imagebase an und nutzt den "kompletten" Code. Wobei dann bei "normalanwendungen" eine DLL eher die einfachste Methode wäre. AFAIK gehen adressunabhängige Sachen auch in C/Delphi (wenns auch manchmal etwas hässlich ist).
Gespeichert

PM an mich? Bitte vorher lesen: EBFEs PM FAQ
f0Gx
Jr. Member
**
Beiträge: 60



Profil anzeigen WWW E-Mail
« Antworten #9 am: März 24, 2009, 07:46:48 »

Gespeichert

» xor byte ptr [edi+78], al
Seiten: [1]
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines | New Look by Nolt Prüfe XHTML 1.0 Prüfe CSS