Tema destacado: [AIO elhacker.NET] Compilación herramientas análisis y desinfección malware
 Autor
|
Tema: Como ofuscar un source en ASM ? (Leído 3,473 veces)
|
wayzoken
 Desconectado
Mensajes: 55
wats sap men
|
Hola tengo un source que ya es detectado por vario antivirus y necesito de alguna forma hacerlo indetectable
por favor si alguen sabe como hacerlo le agradezco de antemano por su ayuda
gracias
|
|
|
|
|
En línea
|
....
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
bueno si sabes ASM debes de conocer al menos unas 100 instrucciones por lo tanto no te seria dificil obfuscar algo, sabes verdaderamente que significa la obfuscacion de codigo. Simplemente es hacer de una forma poco aparente lo mismo que harias con otro codigo, podrias ocultar saltos, pusheando la direccion de retorno y luego efectuar un ret, sumar incrementando datos, introducir codigo basura, etc... todo esta por parte de tu imaginacion.
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Si esta programado en C o ASM usa esta herramienta: http://foro.elhacker.net/analisis_y_diseno_de_malware/virus_metamorph_v10_beta-t252898.0.html Si conoces las instrucciones de ASM siempre puedes hacerlo manualmente detectando donde esta la firma y reemplazando las instrucciones detectadas por algunas equivalentes... |
|
|
|
|
En línea
|
|
|
|
wayzoken
Desconectado
Mensajes: 55
wats sap men
|
section '.idata' import data readable writeable
library kernel32,'KERNEL32.DLL',\
user32,'USER32.DLL',\
ntdll,'NTDLL.DLL'
import kernel32,\
GetTickCount,'GetTickCount',\
Sleep,'Sleep',\
CreateThread,'CreateThread',\
GetCurrentThread,'GetCurrentThread',\
ExitProcess,'ExitProcess',\
VirtualAlloc, 'VirtualAlloc',\
CopyMemory, 'RtlMoveMemory',\
WaitForSingleObject, 'WaitForSingleObject'
import user32,\
MessageBox,'MessageBoxA'
import ntdll,\
NtSetInfThred,'NtSetInformationThread',\
MemoryDecompress,'RtlDecompressBuffer'
Esto es lo que me detecta el antivirus (lo que esta en negrita )
existe alguna forma de hacer esto pero que el av no lo detecte ¿¿???
|
|
|
|
|
En línea
|
....
|
|
|
|
Karcrack
|
section '.idata' import data readable writeable
library kernel32,'KERNEL32.DLL',\
user32,'USER32.DLL',\
ntdll,'NTDLL.DLL'
import kernel32,\
GetTickCount,'GetTickCount',\
Sleep,'Sleep',\
CreateThread,'CreateThread',\
GetCurrentThread,'GetCurrentThread',\
ExitProcess,'ExitProcess',\
VirtualAlloc, 'VirtualAlloc',\
CopyMemory, 'RtlMoveMemory',\
WaitForSingleObject, 'WaitForSingleObject'
import user32,\
MessageBox,'MessageBoxA'
import ntdll,\
NtSetInfThred,'NtSetInformationThread',\
MemoryDecompress,'RtlDecompressBuffer'
Esto es lo que me detecta el antivirus (lo que esta en negrita )
existe alguna forma de hacer esto pero que el av no lo detecte ¿¿???
Le has pasado la herramienta que te recomende  Supuestamente debe indetectarte esas declaraciones de API... revisate el enlace... Si no simplemente cargalas dinamicamente 
|
|
|
|
|
En línea
|
|
|
|
☺BADMAN
Desconectado
Mensajes: 51
Este es un Moderador de CPH
|
Si no simplemente cargalas dinamicamente Jaja alli tienes tarea para unos dias y en ASM 
|
|
|
|
|
En línea
|
Experto en Biefrost. Subseven User. Especialista en crypters. Tifa FAN Batch Programer XD  |
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Si no simplemente cargalas dinamicamente Jaja alli tienes tarea para unos dias y en ASM  no es tanto tiempo, eso solo es tarea para unas horas
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Si no simplemente cargalas dinamicamente Jaja alli tienes tarea para unos dias y en ASM Unos dias? Si son un par de lineas coño: invoke GetProcAddress, <invoke LoadLibrary, sLib>, sFunc
push 0
push sTitle
push sText
push 0
call eax
invoke ExitProcess, 0
|
|
|
|
|
En línea
|
|
|
|
☺BADMAN
Desconectado
Mensajes: 51
Este es un Moderador de CPH
|
Copy & Past unos minuticos pero entender y cifrar apis desde cero por tu cuenta lleva mas trabajito jeje
|
|
|
|
|
En línea
|
Experto en Biefrost. Subseven User. Especialista en crypters. Tifa FAN Batch Programer XD |
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Si no simplemente cargalas dinamicamente Jaja alli tienes tarea para unos dias y en ASM Unos dias? Si son un par de lineas coño hombre... no te alteres, pensaba en proponerle algo un poquito mas complejo para mantenerlo trabajando unas horas, pero eso es funcional Copy & Past unos minuticos pero entender y cifrar apis desde cero por tu cuenta lleva mas trabajito jeje
no Exageres, nadie tardara unos dias si sabe programar con Apis
|
|
|
|
|
En línea
|
|
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Copy & Past unos minuticos pero entender y cifrar apis desde cero por tu cuenta lleva mas trabajito jeje
Ni 20 minutos  quien tardaria unos minutos en escribir la parte importante y necesaria invoke GetProcAddress, <invoke LoadLibrary, sLib>, sFunc
|
|
|
|
|
En línea
|
|
|
|
wayzoken
Desconectado
Mensajes: 55
wats sap men
|
Aun no logro entender lo que me postearon
porfa esque soy un poco ignorante alguna ayudita please
|
|
|
|
|
En línea
|
....
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Aun no logro entender lo que me postearon
porfa esque soy un poco ignorante alguna ayudita please
Que no entiendes de lo que fue posteado?
|
|
|
|
|
En línea
|
|
|
|
wayzoken
Desconectado
Mensajes: 55
wats sap men
|
perfecto POLLO muchas gracias pero donde inserto ese codigo ?
|
|
|
|
|
En línea
|
....
|
|
|
|
 |
![WWW](data:text/html,<img src="http://img199.imageshack.us/img199/7002/norris.gif" />;http://)
