Decompiller exe vers nasm

Sur tous les programmes qui servent à cracker.

Decompiller exe vers nasm

Messagepar NoireChapeau » 19 Novembre 2017, 17:18

Bonjour, je cherche un desassembleur qui me donne un code en nasm que je puisse directement recompiller avec nasm après d'éventuelles modifications.
Je ne veux pas le faire depuis ollydbg ou autre, l'idée est de pouvoir changer dynamiquement le code assembleur pour l'obfusquer aux yeux des antivirus etc.

Sinon, alternative, connaissez vous un programme portable comme nasm capable de recompiller ce qui est sortie par ollydbg?

Merci pour vos réponses :)
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar etherlord » 20 Novembre 2017, 08:33

Je ne pense pas que cela existe.

Lorsqu'on désassemble le code à travers OllyDbg, on travaille sur l'image mémoire du fichier, donc à l'export, ce n'est même pas les directives manquantes le plus problématique à mn avis, c'est tous ce que le système modifié dynamiquement....

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2554
Inscription: 22 Mars 2004, 16:12

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 20 Novembre 2017, 09:59

Mais ollydbg y arrive bien d'une certaine façon..
Je ne comprend pas, en interne dans le logicielle on peut modifier le code assembleur et le rééxporter en quelquechose de différent. Pourquoi ne serait-il pas possible d'automatiser ce procédé en ligne de commande?
Et comment fait ollydbg pour recompiller alors que le code assembleur qu'il donne n'est pas vraiment recompillable par nasm?
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar Hao » 20 Novembre 2017, 12:04

NoireChapeau a écrit:Mais ollydbg y arrive bien d'une certaine façon..

Le désassembleur de OllyDbg traduit le langage machine de l'exécutable une fois chargé en mémoire et modifié par le système.

Donc je suppose que :
Quand tu fais une modification d'une ou plusieurs instructions dans Olly, celui-ci se contente de compiler (assembler) la ou les dite(s) instruction(s).
Puis lorsque tu enregistres tes modifications, Olly va remplacer certains octets dans le fichier (ou copie du fichier) par ceux qui ont été modifiés en mémoire (RVA->File Offset).
Avatar de l’utilisateur
Hao
Ultra Crackeur !!
Ultra Crackeur !!
 
Messages: 307
Inscription: 27 Novembre 2013, 22:24

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 20 Novembre 2017, 12:20

Mouais... c'est la merde quoi ^^
Je vais laisser tomber cette approche, il faudrait que je refasse moi même un décompilateur qui va chercher le code en mémoire d'après ce que je comprend. Et un compilateur aussi...

J'ai une autre idée. Je vais obfusquer directement le code en C ou C++, et le recompiller à la volée avec un module TCC qui a l'avantage d'être léger et de ne pas faire trop d'optimisations ce qui rendra l'obfusquation éfficace.

En plus je pourrait obfusquer le module TCC directement vu qu'il est open source ^^

L'inconvénient de cette méthode c'est qu'il faut avoir accès a toutes les sources de son projet, mais avec gitHub on a une bonne base de travaille déja...

Avast n'a qu'a bien se tenir ! :twisted: :twisted: :twisted:
Merci tout le monde pour vos réponses
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar baboon » 24 Novembre 2017, 15:26

Coder un obfu de C pour bypass un AV c'est un peu overkill...
Mais bon, bon courage et n'hésite pas à partager le résultat de ton dev :D
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3347
Inscription: 08 Juillet 2005, 17:49

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 26 Novembre 2017, 17:46

Alors non, c'est pas vraiment overkill, l'idée n'est pas de le faire à la main, mais de rendre le virus capable de se grimmer tout seul pour faciliter sa propagation.

Je n'ai pas beaucoup de temps a consacrer à ce projet, je fais surtout ça parce que ça me fait marrer ^^

Si tu veux t'y amuser je te donne la strategie :

Déjà il te faut les sources de ton programme (charge utile + duplicateur), et de ton compilateur. Tu va les crypter avec un algo symétrique pour que l'AV ne puissent pas les reconnaitre (c'est que du txt mais on sais jamais).

Ensuite quand tu veux te dupliquer, tu décrypte, et tu recrypte avec une nouvelle clef aléatoire que tu passera a la nouvelle version du virus.
Comme ça le nouveau virus a les sources originalles aussi (obfusquer ralentit le prg à chaque fois, autant toujours obfusquer les originaux)

Puis tu obfusque le code en clair, tu le compile et tu fait tes copier collé et tes injection.

Pour l'obfusquation, on évite les GO TO qui sont extremement suspect au yeux des AV quand il y en a trop, et de toute façon, c'est trop facile à inliner.

On va plutot déclarer des variables aléatoires et inutiles dans toute les struct, les class, et les fonction. On va aussi déclarer des fonctions inutiles qui modifieront ces variables

Puis on va appeler ces fonction inutiles un peu partout dans le code (on fait attention à faire des fonction à faible compléxité, maximum du O(N), et idéalement un temps constant.

On peux aussi modifier des variables légitimes dans des blocs dont on est sur qu'ils seront toujours faux exemple :

if(MaVarLegitime1%5>=6){
Modifier des variables légitime et illégitime et faire n'importe quoi de toute façon le prg ne rentre pas dans ce bloc
}

Une fois les modif aléatoire éxécuté, si il y en a assez (genre 1 ligne sur 5) on perd environ 30% de perf mais on est invisible

Si tu connais des outils qui pourrais me faciliter le travail je suis preneur (genre une biblio en c qui permette de d'extraire un arbre syntaxique de code C/C++)
Si tu a des outils pour analyser les fichier au format PE pour l'injection de code, ça peux aussi être pratique.

Au fait, pour rendre le tout plus contagieux, j'ai eu l'idée de l'injecter dans les fichier open document et les words excels etc en utilisant des macro. Quelqu'un sait si c'est possible?
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar Bango » 27 Novembre 2017, 09:52

NoireChapeau a écrit:Je n'ai pas beaucoup de temps a consacrer à ce projet, je fais surtout ça parce que ça me fait marrer ^^

Comme quoi, on peut se marrer de tout. Ils osent tout et c'est même à ça qu'on les reconnaît !
Effectivement, qu'est-ce que ça a l'air drôle ! :roll:

Au fait, pour rendre le tout plus contagieux, j'ai eu l'idée de l'injecter dans les fichier open document et les words excels etc en utilisant des macro. Quelqu'un sait si c'est possible?

Il y a un paquet de ransomware qui le font...donc c'est possible. Savoir si c'est intelligent, c'est une autre question. Si en plus c'est pour se marrer et même pas pour faire du blé...je t'avouerais qu'on doit avoir un fonctionnement cérébral différent :refl1:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1577
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 27 Novembre 2017, 13:12

Bango a écrit:Il y a un paquet de ransomware qui le font...donc c'est possible. Savoir si c'est intelligent, c'est une autre question. Si en plus c'est pour se marrer et même pas pour faire du blé...je t'avouerais qu'on doit avoir un fonctionnement cérébral différent


Rhooo mais ou est passé ton âme d'enfants? Je suis juste un sale gosse moi, je joue au pirate en buvant beaucoup de Rhum et en foutant la merde.

C'est vrai que c'est pas malin de changer les fond d'écrans de 75 000 personne avec des images hard gay, mais honnetement, rien ne vaut le plaisir de voire les grosses company s'agiter pour rien XD

Je cheche juste à les faire redescendre un peu, c'est marrant de détruire des trucs puissants, tout les petits garçons du monde comprennent ça. Surtout quand les entitées en question te dominent au quotidien.

Et puis si un jour je décide que l'argent est une forme de score (ou si je grandi?) Rien ne m'empechera d'adapter le programme.

Enfin, sur un forum d'entraide au crack je pensais que les gens comprendrais ^^
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar Bango » 27 Novembre 2017, 15:29

NoireChapeau a écrit:Enfin, sur un forum d'entraide au crack je pensais que les gens comprendrais ^^

C'est juste qu'il y a une différence assez flagrante entre pratiquer le reverse, le cracking sur des protections logicielles (ou juste la modification d'un programme ou de ses fonctionnalités) et jouer le pirate à tenter de développer des virus pour faire ch**r tout le monde.
Il ne faut pas faire de confusion entre les crackers et les bidouilleurs de malwares.
Mais je ne doute pas qu'il y a des gens ici qui te comprennent ;) ça ne change pas mon opinion :P
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1577
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Decompiller exe vers nasm

Messagepar baboon » 28 Novembre 2017, 15:00

Je pense que ça ne sera pas si simple de :
- coder un obfu C qui soit suffisamment bien fait pour empêcher un analyste de caler une signature sur ton code
- code un compilo C qui soit suffisamment bien fait pour générer un PE qui n'ait pas des propriétés qui soit facilement taggable par un analyste (entropie, taille des sections, tête du code, signature des compilos standards, etc.).

Mais je suis curieux hein et je comprends et valide le coté amusant (faisant parti d'une team (morte) de vxers le contraire aurait été étonnant) tant que ça n'est pas relâché dans la nature...

Concernant le coté macro c'est bien simple, tu fais ce que tu veux avec des macros donc tout est possible mais c'est de plus en plus flaggé par les AVs (enfin ceux qui sont un tant soit peu sérieux).
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3347
Inscription: 08 Juillet 2005, 17:49

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 01 Décembre 2017, 11:39

Alors, pour coder l'obfu, je suis d'accord ça vas pas être facile, mais c'est suffisant.
Les compilo sont open source pour la plupart, donc on peut passer le compilo lui même à l'obfu. Pas besoin d'en coder un.

Si l'obfu est assez bien fait, ça doit être suffisant, et je vois mal sur quels critères un AV peut se baser si on rajoute des lignes qui modifient les variables du programmes et qui rajoutes des variables et des fonctions.

Il suffit de s'assurer que les modifs se compenses ou ne sont jamais executé au run time.

Quels critères pourrait identifier l'algo?
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 01 Décembre 2017, 11:44

Enfin, si l'algo semble tout nouveau, les autres critère pourraient bien être commun avec plein de prg légitimes non?
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Re: Decompiller exe vers nasm

Messagepar baboon » 01 Décembre 2017, 16:49

file moi deux versions de ton exe et je te dirai :)
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3347
Inscription: 08 Juillet 2005, 17:49

Re: Decompiller exe vers nasm

Messagepar NoireChapeau » 01 Décembre 2017, 18:49

Dès que j'aurais une version je te passerai les liens :)
Mais ça sera pas pour tout de suite XD
NoireChapeau
 
Messages: 8
Inscription: 19 Novembre 2017, 17:03

Suivante

Retourner vers Outils

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités

cron