Continuando hoy con el tema que empece ayer y basandome en lo mismo (un downloader) me gustaria que la gente del foro que analiza malware lo analizase y dejase un comentario sobre la facilidad o dificultad de seguir el codigo con un depurador, mas que nada para seguir con este enfoque o cambiarlo todo y empezar de 0, es mucho trabajo lo que queda y no quiero que sea una perdida de tiempo. Igual que ayer solo baja una imagen y muestra un MessageBox, la idea no es que me digan lo que hace, me gustaria una valoracion a la hora de seguir el codigo, si se hace confuso el analisis, cansado de seguir, que cosas cambiarias etc etc.

http://www.sendspace.com/file/u4xlw5

gracias por darle un ojo , entonces continuo y si llego a terminarlo lo publicare para el que quiera usarlo . intento hacer un codigo hibrido, las vueltas que ves es el interprete ejecutando el codigo pudiendo mezclar codigo real y codigo interpretado de forma sencilla.

es automatizado todo, y a diferencia de el que publique el otro dia no hay comparacion de opcodes. es decir cada instruccion se ejecuta en su orden como si fuese codigo real. para hacer esto cada "opcode" es el indice de su correspondiente funcion en una tabla de llamadas. por ejemplo:


esto es el macro que define la instruccion push registro, el opcode no es mas que el indice 1 en la tabla de llamadas interna del interprete y el valor registro es el registro que se quiere pushear (la instruccion es automodificable). ahora la implementacion de esto es la siguiente:


y como ya dije puedes mezclar codigo sin complicaciones, por ejemplo:

mov eax,valor
v_sta                        ; inicia ejecucion por parte del interprete
v_pushr _eax            ; pusheamos eax
v_mov_r _ecx,valor   ; movemos a ecx el valor X
v_calld funcion,0       ; llamamos a una funcion
v_end                       ; indicamos al interprete que a finalizado su bloque de instrucciones y ahora se ejecuta codigo normal
cmp eax,Lo-que-sea
+codigo.

a la hora de escribir no es que sea un proceso complicado ya que las instrucciones interpretadas se asemejan a su correspondiente real en nombre. de este modo nada mas compilar ya esta el ejecutable ofuscado .