elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Ayuda con firma Win32:VBCrypt-VW !!
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda con firma Win32:VBCrypt-VW !!  (Leído 5,948 veces)
VanHelsing810

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Ayuda con firma Win32:VBCrypt-VW !!
« en: 29 Noviembre 2014, 02:49 am »

Alguien me podria deciir como saltar esta firma Win32:VBCrypt-VW en avast eh echo desplit alternativo  los offset del desplit me quedan 5 concecutivos cuando hago avfuker en ese rango de offsets salen detectados.

y mirando con olly esos offsets caen en pocos bytes para el rit
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #1 en: 29 Noviembre 2014, 03:00 am »

Alguien me podria deciir como saltar esta firma Win32:VBCrypt-VW en avast eh echo desplit alternativo  los offset del desplit me quedan 5 concecutivos cuando hago avfuker en ese rango de offsets salen detectados.

y mirando con olly esos offsets caen en pocos bytes para el rit
Sí, dejar de programar malware en VB y aprender C/C++.
En línea

VanHelsing810

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #2 en: 29 Noviembre 2014, 03:12 am »

Si , ya me parecia empezarè algo a ver algo en C++  gracias por tu respuesta
« Última modificación: 29 Noviembre 2014, 03:25 am por VanHelsing810 » En línea

Elargrt

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #3 en: 1 Diciembre 2014, 01:31 am »

Prueba rellenando con 90 el VB5! con HexWork(si es que lo programaste en VB6)
Saludos
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #4 en: 1 Diciembre 2014, 04:22 am »

Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:

FIRMA
FIRMA
FIRMA
SIGUE CODIGO
FINAL CODIGO

quedaría
FIRMA
JMP FINAL CODIGO
FIRMA
FIRMA
JMP SIGUE CODIGO


Saludos y suerte
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #5 en: 1 Diciembre 2014, 16:22 pm »

Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:

FIRMA
FIRMA
FIRMA
SIGUE CODIGO
FINAL CODIGO

quedaría
FIRMA
JMP FINAL CODIGO
FIRMA
FIRMA
JMP SIGUE CODIGO


Saludos y suerte
Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.
En línea

xxxposeidonxxx

Desconectado Desconectado

Mensajes: 83



Ver Perfil WWW
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #6 en: 6 Diciembre 2014, 02:52 am »

Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.

Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo.

PD:No se modifica por modificar o por el tiempo que dure,  es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como  el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente.
saludos
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #7 en: 6 Diciembre 2014, 05:26 am »

Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo.
Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado.

PD:No se modifica por modificar o por el tiempo que dure,  es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como  el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente.
saludos
¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV?
Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible.

Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién?

-

Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs.
« Última modificación: 6 Diciembre 2014, 05:35 am por x64Core » En línea

xxxposeidonxxx

Desconectado Desconectado

Mensajes: 83



Ver Perfil WWW
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #8 en: 7 Diciembre 2014, 02:56 am »

Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado.
¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV?
Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible.

Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién?

-

Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs.


Hace mucho tiempo que modificar  Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.

En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Ayuda con firma Win32:VBCrypt-VW !!
« Respuesta #9 en: 7 Diciembre 2014, 03:12 am »

Hace mucho tiempo que modificar  Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.


¿Hace mucho tiempo que no sirve de nada? ¿Desde cuando fue una solución en general? Incluso los escritores de virus desde los años de 1990 escribian motores polimorficos y metamorficos en virus para evadir firmas de AVs. Y el punto de subir a VirusTotal es la rapidez con la que los AVs pueden generar una firma estatica para un malware. Acerca del modding prefiero crackmes, packers... son más divertidos que estar removiendo firmas de AVs en un programa... pero bueno.

-
Ahora, si apesar de eso aún crees que remover firmas "manualmente" podria ser una solución hay cosas importantes en la modificación de malware ya que uno no sabe si se estaría modificando la infraestructura del mismo, dejandolo sin funcionar. Muchos casos por ejemplo: comprobadores de integridad, offsets fijos o cualquier situación en la que se considere algun valor fijo... Todo esto sin mencionar que si estas agregando código/datos a alguna sección es posible que sea necesario actualizar la sección y todas las posteriores y valores de la imagen PE y también saltos relativos, en otras palabras se necesitará una regeneración de toda la imagen PE lo cual todo eso en la mayoria de los casos es una tarea imposible de realizar, se necesitará información que sólo es disponible al programar el malware. En verdad que basuras como "AVfucker" nunca debieron existir.
« Última modificación: 7 Diciembre 2014, 03:54 am por x64Core » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda win32.beginupdateresource(), win32.updateresource(), no funciona.
.NET (C#, VB.NET, ASP)
krosty123 2 3,558 Último mensaje 6 Noviembre 2010, 04:10 am
por krosty123
problema con firma win32.vbinject (ikarus/a squared)
Análisis y Diseño de Malware
krisium 4 4,294 Último mensaje 8 Noviembre 2010, 12:50 pm
por krisium
JDK para win32? [ayuda]
Java
akibara 3 7,106 Último mensaje 27 Mayo 2011, 01:31 am
por Mr.Blue
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines