He programado un keylogger 100% funcional en C/C++ y con envío FTP que consta de un PE y una DLL.
el exe lo que hace es copiar la dll e inyectarla en el proceso explorer.exe.

La DLL al ser inyectada instala un hook de teclado, y cada 30 segundos descarga el log del servidor, añade datos y la vuelve a subir x ftp.

sólo he cifrado 2 apis: WriteProcessMemory y CopyFile, y en la DLL directamente no he hecho nada para ocultar lo que hace

a pesar de todo esto, no lo detecta ningun antivirus... pasado por virusthanks.org

por qué? a parte de mirar las apis importadas y buscar en una base de datos de virus conocidos alguna heurisitca, qué´hacen los antivirus? nada más? xD

Entonces no seria´muy facil usar cualquier cosa, simplemente upx para protejer 1 virus? :S

¿Cómo estás haciendo el hooking de las APIs?

Ya hablamos hace poco de eso, tu te programas tu propia herramienta sin copiar codigos y no le metes packer y es 100% indetectable. los antivirus no detectan el api hook.