04/12/2008

H.a.r.PE 0.0.5 et ses effets indésirables

Aventures d'un soir quand tu nous tiens...

Conduite hasardeuse dans une ville de nuit, j'aperçois les catins entrain de gagner leurs vies. Bien accompagné je décide de ne pas m'arrêter, pour une fois. Quelle est belle, en pleine descente, le visage maquillé aux restes de son diner. A croire que le lsd ne lui a pas réussit. Je l'avais pourtant prévenu de ne pas en prendre 3 en même temps.
Arrivé chez elle en mode radar, avec l'équivalent de 4g dans chaque membre, je me dévoue pour la plotter, à la recherche de ses clefs. Elle se laisse faire, c'est logique, elle est inconsciente. Ce regard coquin me pousse à monter chez elle, accompagné d'un tas de chair sur l'épaule. Je la déshabille, caresse son visage avec mes mains, pour enlever les bouts de pizzas encore collés à son visage.
Je l'amène jusqu'à son lit en l'enrobant de mes bras musclés pour lui conférer un sentiment de sécurité, la pose délicatement sur son matelas, ajustant l'oreiller et la couvrant de cette couette qui semble si agréable. C'est décidé, je me couche à ses cotés, pour la surveiller. Je me relève, fume une cigarette, en récupérant une bassine pour ses hoquets douteux.
Demain je pourrais dire que j'ai couché avec elle, et qu'elle a avalé. Oui, elle a utilisé pour s'essuyer de son premier rejet le seul mouchoir utilisé que j'avais à disposition, remplit de sperme.

Ce délire psychotique maintenant fini (oui, je n'ai pas des bras musclés, ca me ferait peur sinon), je vous présente mes nouveaux compagnons de route :
  • Monsieur cd permet maintenant de se ballader dans les structures du PE :)
  • Madame lsd permet d'afficher les sous-structures disponibles
  • Son frère ls qui affiche tout les membres de la structure
  • Le fils de son frère, p, qui permet un affichage membre par membre
  • et le résultat d'un inceste, m, qui permet de modifier la valeur d'un membre :]
  • Le mec enfermé dans le coffre, c'est sIg, il aime bien trouver des suites de bytes
Un p'tit doc sur l'obfuscation ici (agrémenté de quelques améliorations, merci Ivan)
Ou, après avoir été harcelé comme quoi je ne fournissais pas assez de code, cette archive, contenant un code dégueulasse d'exemple de poly tout pourri.
Pour voir des changement, lancez deux fois l'exe "original" et désassemblez.

Pour le reste, ca se passe ici

Ce post a été entièrement rédigé sous l'influence de substances illicites. Ah merde, je l'ai pas mit dans le nom du prog ca ! Enfin HadrPE ca le fait pas trop, a la limite HardPE mais l'acronyme ne conviendrais plus... Trop complexe pour moi, je demanderais à vos 2 laptops ce qu'ils en pensent.

15/11/2008

H.a.r.PE 0.0.4

Allez, un p'tit sky et c'est partit pour une soirée au comptoir ...

"- Alors, qu'est-ce que je vous sert ma p'tite dame ?

- Je prendrais simplement un affichage des Resources, avec une goute de Tls et un zeste de Relocs.

- Je vous amène quelques cacahuètes à grignoter ?"

'tain, encore un cocktail de merde à me taper, mais qu'est-ce qu'ils me soualent c'est gros cons de clients. Heureusement qu'ils me donnent de la thune en retour...

Lien : HarPE 0.0.4

Merci à moi d'avoir eu le courage de finir l'affichage des rsrc, ca m'a bien pris la tête. Peut-être le sujet d'un petit post/tuto d'ici peu.


Allez, une p'tite bibine et c'est repartit. Quoi, me regardez pas comme ca, le nom de ce tool n'est pas dû au hasards ...

28/10/2008

H.a.r.PE 0.0.3

HopHopHop, chaud la carotte

Nouvelle version, au menu :
  • en entrée un viewer héxadécimal (affichage tout beau et tout, vous verrez pour ce qui est de l'assaisonnement dans le readme)
  • en plat principal un opcode dumper, affichage "brute" des octets avec quelques options que je trouve utiles :)
  • et en dessert, une petite fonction bien pratique permettant de rediriger l'affichage vers un fichier à l'aide de > .

D'ici peu, pour la cuvette des WC (je n'ai pas dit que je savais cuisiner):
  • Amélioration des fonctions de dump notamment pour y ajouter la possiblité de mettre en forme l'output pour directement l'inclure dans un code (asm ou C je pense) ou pour l'écrire en raw dans un fichier
  • Et on verra avec les restes de la semaine pour la suite

Lien : HarPE 0.0.3

Merci à sh4ka pour ses précieux conseils :)

Et s'il vous plait, faites le ménage sur votre bureau avant de venir la prochaine fois...

26/10/2008

H.a.r.PE 0.0.2

Voici déjà une nouvelle version seulement 1 jours après la sortie de la précédente :

Plusieurs bug signalés ont été corrigés (file name trop long par exemple, redondance dans les commandes, etc...).
L'affichage de renseignements sur les streams du MetaData Header .net est maintenant supporté.

Ajout des fonctions suivantes :
  • V Verbose -écriture de toutes les informations disponibles sur le PE dans HarPE-.txt
  • i Install -Ajout d'une entrée dans le menu contextuel
  • u Uninstall -Suppression de l'entrée dans le menu contextuel

Merci à MAD et à 0vercl0k pour avoir signaler ces bugs et m'avoir donné des idées de fonctions :)

Un grand merci à 0vercl0k pour me prêter de l'espace afin d'uploader les différentes versions de HarPE !

Lien :HarPE 0.0.2

Mes amitié à votre chien (ou votre chat, au choix)

15/10/2008

H.a.r.PE 0.0.1

Quand une Hallucination d'Alcoolik Reversant le PE ponds un petit loot.

HarPE était à la base un Viewer PE perso correspondant mieux à mes attentes concernant ses fonctionnalités, contrairement à ce qu'on peut trouver sur le web. C'est un outil tout ce qu'il y a de plus banale, cependant au cours de sa programmation j'ai pensé à une évolution de ce petit projet : un framework contenant différents outils utilent au reverse-engineering de PE.
Ce projet reprend plus ou moins l'idée d'ERESI, sans pour autant compter arriver à un équivalent pour plateforme Win32.

En réalité, pour l'instant ce n'est qu'un Viewer PE incomplets avec quelques fonctionnalités peu-communes. Nous verrons par la suite le chemin que prendras HarPE mais j'ai bonne espoir concernant son évolution.

Petit ? Oui,
15,5Ko une fois compilé avec masm
- de 7Ko packé avec UPX


A l'affiche :
  • Affichage des infos importantes du PE Header (ignorant par exemple les Data. Dir. vides)
  • Affichage de la majorité d'informations sur le PE
  • Affichage de certains Data Directory (Import Table, Export Table, .Net Header (en partie seulement))
  • Recherche des signatures et extensions d'autres format de fichier dans le programme (exe, zip, rar, jpeg,etc...)
  • Recherche de quelques urls(http://, ftp://, mailto:)
Pour les modalitées d'utilisation ? Regardez un peu par vous même ... moi j'ai fait ma pub maintenant je peux retourner de là où je viens :)

Comme l'indique la suite de chiffre (qui ne suivras certainement pas une évolution linéaire) à côté du nom de ce p'tit bout de code, c'est une version pre-alpha.

Sexy To-Do:
  • Affichage de toutes les données accessibles
  • Redirection de l'affichage dans un fichier
  • Implémenté le support du PE32+
  • Améliorer le support du .Net
  • Optimiser le code
  • Trouver des idées
Pour plus d'informations, lisez le Readme
Ah j'oubliais, il peut faire l'amour le premier soir cependant il demande en contre-partie la modique somme de quelques signalement de bugs ou idées d'améliorations.

Lien : HarPE 0.0.1

Sur ce, mes salutations à votre femme (si vous en avez une bien entendu)