elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  Preguntas mas frecuentes(F.A.Q)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Preguntas mas frecuentes(F.A.Q)  (Leído 2,990 veces)
Kizar


Desconectado Desconectado

Mensajes: 1.325


kizar_net


Ver Perfil
Preguntas mas frecuentes(F.A.Q)
« en: 19 Julio 2006, 14:34 »

Preguntas mas frecuentes
No me gusta que en el foro siempre se este ablando de las mismas cosas, son temas muy tratados y estoy haciendo esta pequeña guía para que los newbies se la lean antes de preguntar nada y así la gente con mas conocimientos se pueda dedicar a cosas mas interesantes.

Los mejores troyanos

No hay mejor troyano, solo que les hay mas completos y menos, pero lo mas importante es k se adapten a las necesidades de uno.
Las funciones mas comunes son keylogger, screenshot, cam recorder, filemanager ...
Los más usados y “mejores” para mí de conexión inversa son el PoisonIvy2, el NuclearRat y el Bandook1.3

Como hacer indetectable un troyano

Por desgracia las compañías antivirus no son tontas y actualizan sus bases de datos a diario con los nuevos virus y troyanos k aparecen, por eso no nos servirá de nada usar un troyano si es detectado porque si la victima tiene un antivirus será eliminado.
Para hacerlo indetectable hay varias maneras:
  • Cambiar offsets detectados con editor hex.
  • Cambiar el código fuente detectado en ASM
  • Usar encriptadores y compresores (no es lo mismo)

Cambiar offsets detectados con editor hex.
Es una de las técnicas mas antiguas de todas consistes en ir buscando los offsets detectados y cuando encontramos el que caza el antivirus cambiamos su numero por un numero mas alto y generalmente conseguimos hacerlo indetectable, pero muchas veces se jode la aplicación.

Cambiar el código fuente detectado en ASM
A mi es la técnica k mas me gusta, es como la anterior solo k en vez de sumar un numero abres el programa con un debuger como ollydbg y te diriges al offset detectado y cambias el código fuente en ASM, así consigues k sea indetectable y no estropeas el ejecutable.

Si abres un programa con un editor hexadecimal solo ves numeritos, pero si usas un debuger esos números se traducen a código en ASM.
Y por ejemplo si el offset detectado es "74" ("je" en ASM, significa si es igual salta) y si cambias el 74 por "75" (“jne” en ASM, significa salta si no es igual)
Por lo tanto lo k tas haciendo es invertir un salto, aparentemente se queda indetectable ya k es lo contrario, pero si por ejemplo tienes este código tan simple:
Si cam ESTA apagada entonces enciéndela
Si cambias ese 74 por 75 quedaría así:
Si cam NO ESTA apagada entonces enciéndela
Por eso al cambiar usando el editor hex algunas funciones quedan inutilizadas o incluso te puedes cargar el programa.
Si lo modificas el código fuente en ASM como por ejemplo poniendo un salto a la función o algo k haga lo mismo de manera diferente pues te queda indetectable y funcional.


Usar encriptadores y compresores
Esto es l mas como y lo k mas gente hace, a mi no me gusta ya k no suelen durar mucho siendo indetectables..
No es lo mismo un encriptador k un compresor:
  • Encriptador
Es un programa con el fin de proteger un ejecutable para k no pueda obtenerse su código fuente fácilmente, estos no hacen mas pequeño el programa, generalmente lo hacen mas grandes, algunos de estos programas solo tienen el fin de hacer indetectable las aplicaciones.
Usar los encriptadores da muy buenos resultados, pero al poco tiempo los antivirus los añaden a sus listas y son detectados.
Los ejemplos de encriptadores más comunes son el Themida, el SD Protector ...

  • Compresor
Son programas con el fin de hacer k las aplicaciones ocupen menos de su tamaño original.(reducen su tamaño casi a la mitad)
No suelen hacer indetectables las aplicaciones.
Los mas frecuentes son upx, fsg...

También quiero destacar que los joiners y los binders No hacen indetectables los programas, lo que hacen es juntar varias cosas, y sirven para engañar cuando por ejemplo le envías un troyano a alguien si no le aparece nada en la pantalla es sospechoso, si con un binder juntas el troyano con una foto ya no es tan sospechoso ;)

Extensión de un troyano
Los troyanos siempre tiene tener la extensión “exe” para que sean ejecutados como una aplicación.
Hablando claro, no se puede mandar un troyano como si fuera una foto (con extensión jpg) , la explicación es muy sencilla. Windows ejecuta cada extensión con un programa predeterminado, y si tiene extensión jpg lo abrirá con el visor de imágenes, por lo tanto el troyano no se ejecuta.
También es sabido que hay varios trucos para engañar a la victima haciéndola creer que es una foto...
Por ejemplo:
  • Doble extensión
  • Cambiar el icono
  • Contaminar el registro

Doble extensión
Consiste simplemente en renombrar un archivo de troyano.exe a troyano.jpg.exe
Así Windows ocultara la extensión exe y el usuario vera k tiene extensión de foto.

Cambiar el icono
Con herramientas como el ResHacker puedes cambiar los iconos de una aplicación y poner por ejemplo el icono k usa Windows para las fotos y así lo abrirá creyendo k es una foto...

Contaminar el registro

En el registro esta guardado con que programa se abre cada extensión.
Pues el truco esta en cambiar el programa k abre los archivos jpg por ejemplo para k los abra como programas y después de haber hecho ese cambio cualquier archivo jpg que le mandemos lo abrirá como una aplicación.
Ejemplo: http://cyruxnet.org/extensiones.htm

Enviar troyanos
Lo mas frecuente para enviar un troyano a la victima suele ser enviarlo por email o por mensajería instantánea, pero estos bloquean los ejecutables y avisan de que son archivos peligrosos para el equipo. Para evitar eso se pueden hacer 2 cosas:
  • Comprimir archivos
  • Tres puntitos

Comprimir archivos

Si el archivo exe lo comprimes en zip por ejemplo te dejaran enviarlo por todos los lados y la victima lo podrá abrir ya que viene por defecto con Windows.

Tres puntitos

En Hotmail si después de el exe pones 3 puntitos no te dice nada de el archivo y te lo ejecuta normal.
Por ejemplo “troy.exe” => “troy.exe...

Problemas con troyanos
A la hora de usar un troyano de conexión inversa se nos dan muchas ventajas pero también tiene algún inconveniente.
Si tienes una IP dinámica (que cambia) necesitas crearte un DNS con no-ip por ejemplo para k tu ip siempre este actualizada.
Si el Server no se conecta a ti puede ser pro varias cosas, la mas común es k no tengas abiertos los puestos de tu router, tendrás k abrirlos, también puede ser k la victima tenga un firewall y no deje conectarse a Internet o simplemente k tu troyano sea detectado y su antivirus lo borre.

Comprobar si un troyano es detectado
Para comprobar si un troyano es detectado lo mas fácil es usar nuestro antivirus, pero cada antivirus es distinto por lo tanto si la victima tiene un antivirus distinto alo mejor se lo detecta.
Hay varios escaners de varios antivirus a la vez:
Online : Son antivirus en paginas Web como VirusTotal, no enviéis nunca vuestros troyanos a analizar ya k mandan muestras a las compañías antivirus y si no es detectado lo será en pocos días
Offline: Hay herramientas como la de Thor (KISM) k hace lo mismo solo k no manda muestras a ningún antivirus.

Según vallan haciendo preguntas iré añadiendo cosillas al post.
No pongan comentarios ni nada en este post.
Salu2 k1z4r

« Última modificación: 4 Agosto 2006, 12:21 por KiZaR » En línea

marian0

Desconectado Desconectado

Mensajes: 266


~Argentina~


Ver Perfil
Re: Preguntas mas frecuentes(F.A.Q)
« Respuesta #1 en: 9 Octubre 2006, 17:42 »

Me gustaria que des más informacion o links para ampliar el tema de
Citar
Cambiar el código fuente detectado en ASM
..
Tambien, link para bajar el "thor" y probar los troyanos para ver si son detectados por determinados antivirus y que no envíe estos archivos a las companías :D :P

Saludos y aunque no querias comentarios tengo que decir que muy interesante tu post  :-X
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recopilación de manuales, tutoriales de hardware y preguntas frecuentes.
Hardware
Artikbot 0 11,013 Último mensaje 8 Marzo 2008, 21:46
por Artikbot
Preguntas Frecuentes al Grupo de Delitos Telemáticos
Foro Libre
skapunky 0 1,448 Último mensaje 25 Mayo 2011, 15:40
por skapunky
Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines