Bueno, ya terminé la nueva versión
0.2.1...Aquí vuelve
||MadAntrax|| con otra de sus aplicaciones...
Cactus Metamorph 0.2.1
Foto Ventana Principal
Foto vMap: Offset Pointer
Foto Ventana de .log's
Listado de funcionalidades 0.2.1[ + ] Función añadida
[ X ] Modificación / Mejora
[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Fecha y Hora del sistema (se usará en futura versión 0.3)
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ X ] Mejoradas las estadísticas, ahora son más eficientes
[ X ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ X ] Se han cambiado los valores hexadecimales de los diccionarios
[ X ] Aumentados y mejorados los niveles de Ofuscación
DescripciónEste sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna
sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.
Para que sirve?Los
AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:
fichero101010101011101010101
Los
AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es
01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al
AntiVirus, por ejemplo:
fichero201010101011111010101
Al realizar está técnica pueden ocurrir 3 cosas:
- El fichero final se ha modificado perdiendo su funcionalidad
- El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
- El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando
Está claro que nosotros queremos llegar al
3º punto, pero no es una tarea sencilla: Hay que ir modificando los
Offset's del fichero hasta dejarlo ligeramente modificado,
sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues
Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.
Como funciona realmente?Cactus Metamorph coge un fichero compilado (*.exe) y examina
TODOS Y CADA UNO de los
Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.
Cabe destacar que
Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su
MD5,
CRC32, etc...
Entonces... ¿este programa deja indetectable cualquier fichero o troyano?No, y lo repito 100 veces más:
NO.
Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros
tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y
no funcionan.
Este programa te permitirá modificar de forma
masiva aquellos
Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:
- Un fichero funciona indetectable
- Un fichero funcional detectado
- Un fichero no funcional (roto)
Dependiendo del nivel de
Ofuscación y del
Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado
Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un
MD5 distinto. Disfrútalo
Bueno, dejo ya de escribir, espero que haya quedado claro más o menos cómo funciona el programa. Os recomiendo que lo probéis, modifica un fichero y lo subes a virustotal.com para ver si has conseguido "burlar" algún Antivirus.
LINK DE DESCARGA AQUÍ: http://foro.elhacker.net/index.php/topic,192924.msg916552.html#msg916552
Bug's detectados en la versión 0.2.11) En algunos casos y si el nivel de Ofuscación es muy elevado, el ejecutable final queda inestable o inservible.
Esto no se si podré arreglarlo, si te ocurre esto lo mejor es bajar el nivel de Ofuscación.2) En algunos casos y si el nivel de Ofuscación es muy elevado el icono del ejecutable final queda modificado o inservible.
Esto no es un problema grave, al fin y al cabo el fichero final es estable y funcional, realmente es lo que importa más3) La opción de modificar el EOF no preserva los datos del fichero original, esto supone un problema en ficheros parecidos al server del Bifrost
Preservar los datos actuales del EOF original será una función para añadir en la versión 0.34) Si intentas encriptas un fichero de tamaño elevado (> 350) el programa se demora muchísimo, llegando a tardar unos 10 minutos.
El programa busca, compara y modifica todos y cada uno de los offset's de un fichero, esto supone un bucle bestial y muchas comparaciones, por eso se demora tanto.
Autor
En línea
