Tema destacado:
 Autor
|
Tema: netcat indetectable (Leído 4,026 veces)
|
tragantras
 Desconectado
Mensajes: 466
|
Hola buenas, dado que el netcat es detectado por la mayoria de los antivirus y aprovechando cierto nivel en C, me preguntaba que es exactamente lo que habría que cambiar del codigo fuente del netcat para hacerlo indetectable... Se que no es algo tan sencillo como cambiar de orden 2 funciones pues para algo surgio la heuristica, peeeero me preguntaba si alguien sabe exactamente que es lo que hace saltar la alarma en los antivirus.
Un saludo y gracias
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Lo primero en lo que debes de fijarte es en el nombre con el que lo 'taggean' los antivirus... por ejemplo, si es algo de NetCat... ya sabes que tienen una firma... por lo tanto la buscas y la quitas...
De todas formas yo te recomiendo CryptCat...
|
|
|
|
|
En línea
|
|
|
|
tragantras
Desconectado
Mensajes: 466
|
gracias karcrack por responder, te importaría porfavor dejarme algun manual o algun otro enlace con el que pueda investigar por mi cuenta? es que no tengo demasiada idea de este tema y tampoco quiero acosar a preguntas >,< asi que... =)
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
http://www.google.es/search?q=cryptcat+site%3Aforo.elhacker.net
|
|
|
|
|
En línea
|
|
|
|
whiteN0ise
Desconectado
Mensajes: 207
|
¿No sé si al nc se le detecte también por la vía heurística (firmas comunes en offsets y tabla de importaciones de archivo) o por la proactiva, en arquitect winx?
Como sea también está la alternativa de esconderlo con un rootkit. xD
Saludos.
|
|
|
|
|
En línea
|
"When two trains approach each other at a crossing, both shall come to a full stop and neither shall start up again until the other has gone. ”
|
|
|
|
MazarD
|
Netcat/cryptcat es genial pero es que además es open source, así que no necesitas buscar firmas, te bajas el código lo modificas un poco y listo. http://sourceforge.net/projects/cryptcat/ Saludos! |
|
|
|
« Última modificación: 21 Noviembre 2009, 00:07 por Karcrack »
|
En línea
|
|
|
|
|
mytnick
|
que es exactamente cryptcat??
yo lo que hago es encriptarlo y después quitarle la firma del programa con el que lo encripté.
Pero a de haber otra forma más efectiva y menos tediosa,no?
Un saludo
|
|
|
|
|
En línea
|
|
|
|
|
MazarD
|
que es exactamente cryptcat?? Netcat cifrando la transferencia de datos con twofish. Para saber que es netcat ya... tienes un hilo de 17 páginas de zhyzura desde 2005: http://foro.elhacker.net/hacking_avanzado/paper_obtener_shell_con_netcat-t58032.0.html y hay más información en el foro. El tema es que si tienes el código fuente no hay que encriptarlo, buscar firmas ni nada de eso, se mueven un poco los procedimientos, se modifica la estructura o se cambia un poco el código, lo compilas y ya está indetectable. Saludos!
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
¿No sé si al nc se le detecte también por la vía heurística (firmas comunes en offsets y tabla de importaciones de archivo) o por la proactiva, en arquitect winx?
Como sea también está la alternativa de esconderlo con un rootkit. xD
Saludos.
El problema con el netcat radico en el sobre uso que se le dio para ataques, es bien sencillo conseguir hacer una RemoteShell Funcional.
|
|
|
|
|
En línea
|
|
|
|
whiteN0ise
Desconectado
Mensajes: 207
|
El problema con el netcat radico en el sobre uso que se le dio para ataques, es bien sencillo conseguir hacer una RemoteShell Funcional.
Totalmente de acuerdo. La aplicación ha sido tan versátil que era inevitable el sobre uso. Incluso la versión win NT que presentaba algunos problemillas en comparación con la de arquitecturas *nix, se sobre utilizó. Saludos.
|
|
|
|
« Última modificación: 27 Noviembre 2009, 16:14 por int_0x40 »
|
En línea
|
"When two trains approach each other at a crossing, both shall come to a full stop and neither shall start up again until the other has gone. ”
|
|
|
|
 |
