 Autor
|
Tema: [+] SMALL CRYPTER by E0N (Leído 7210 veces)
|
Tughack
 Desconectado
Mensajes: 498
|
Ah si ya se de k hablas, el codigo k genera el compilador. Si, lo k digo no se aplica a todos los casos.
Saludos
|
|
|
|
|
En línea
|
|
|
|
Dominicano
Desconectado
Mensajes: 934
|
Bueno, creo que el tema se esta desviando, pero yo creo que si un ejecutable pequeño se ejecuta mas rapido es porque se carga mas rapido en memoria, por lo demas no creo que tenga nada que ver una cosa con la otra, el proceso siempre en el mismo, aunque aveces depende mucho de que programa se ejecuta, no todo los ejecutables pequeños son los mas rapidos, una cosa si que esta clara, y es que los ejecutables pequeños sualen ser muy inestables.
saludos...
|
|
|
|
|
En línea
|
|
|
|
Distorsion
Desconectado
Mensajes: 154
15Hz ~ 20Hz
|
los ejecutables pequeños sualen ser muy inestables. Que va a tener que ver? Si el codigo hace bien su trabajo no tiene porque ser inestable, esta claro que si no dominas bien el asembler y no tienes bien echo el algoritmo contemplando todas las posibles situaciones el programa sera inestable pero no por que sea pequeño. Yo creo que, menor tamaño = menos instrucciones = menos posibles errores en el codigo, al ser mas pequeño la posibilidad de errores es mas reducida que si tenemos muchas instrucciones. Todo depende de como este programado no del tamaño. Saludos. |
|
|
|
|
En línea
|
CreateRemoteThread(proc,NULL,NULL,(LPTHREAD_START_ROUTINE)nLoadLibrary,(LPVOID)RemoteString,NULL,NULL);
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.612
|
Aunk kuando compilado (ya optimizado) pesa 5 kb (+2,5 kb k el de E0N) El mio pesa 1.3kb Tughack, no 2.5kb  La version de 2.5kb fue la primera q hice y no la e publicado ni lo voy a hacer, para la nueva version depuré mucho el code y le metí mano a la cabecera del stub En cuanto a lo del articulo q dices Hendrix, esta por programación general, q lo puso Ragnarok, me acuerdo por q me llamó la atención En cuanto a esto: E0N es posible dejar tu crypter indetectable a todos los av conservando el tamaño del stub?? Si fuese asi seria claramente el mejor crypter jamás echo, crees tu que podras lograrlo usando otro tipo de encryptación?? La cosa es q los av's lo detectan por la protección proactiva (como el kav o el avast) y eso no hay forma de saltarselo por q no lo detectan por una firma ni nada de eso... Cuando lo llenen de firmas si te será mas facil modificarlo al ser mas pekeño, solo te doy una pista, si amplias el tamaño del stub por alguna circustancia (lo vas a tener q hacer por q no hay 0's donde escribir) mira con el olly el código y asegurate de cambiar una de las primeras instrucciones para q meta en la pila el tamaño nuevo del stub  No puedo bajarlo E0N a tu obra maestra no se que coño pasa con mi conexion, a ver me podrias pasar otro link o nose que pero lo quiero bajar. Gracias compi Pues de aki del foro deberia bajar bien, si no busca por google q lo hansubido ya a varios sitios: http://www.google.es/search?hl=es&q=small+crypter+e0n&btnG=Buscar&meta=Salu2 |
|
|
|
|
En línea
|
|
|
|
nhaalclkiemr
Desconectado
Mensajes: 1.644
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Muy bueno E0N! A ver Distorsion, pienso que te estas confundiendo....tu video es una tecnica bypass para saltarse un firewall. Aki la inyección que usa E0N se refiere a la inyección del proceso, es decir, para hacerlo correr pues lo inyecta en memoria siempre, no es k se inyecte para saltarse un firewall... k yo sepa de momento no hay manera de evadir la proative defense del KAV para la inyeccion...weno sobre todo en la version 6 ya que WriteProcessMemory es siempre necesaria... Saludos |
|
|
|
|
En línea
|
|
|
|
Distorsion
Desconectado
Mensajes: 154
15Hz ~ 20Hz
|
Pero si yo ni he puestado el video ni he echo comentario alguno de ello!XD
|
|
|
|
|
En línea
|
CreateRemoteThread(proc,NULL,NULL,(LPTHREAD_START_ROUTINE)nLoadLibrary,(LPVOID)RemoteString,NULL,NULL);
|
|
|
Tughack
Desconectado
Mensajes: 498
|
k yo sepa de momento no hay manera de evadir la proative defense del KAV para la inyeccion...weno sobre todo en la version 6 ya que WriteProcessMemory es siempre necesaria... Claro k hay. Ya se de k tecnica trata el video. Palabra-clave: unhooking  Saludos |
|
|
|
|
En línea
|
|
|
|
alexkof158
Desconectado
Mensajes: 163
|
k yo sepa de momento no hay manera de evadir la proative defense del KAV para la inyeccion...weno sobre todo en la version 6 ya que WriteProcessMemory es siempre necesaria... Claro k hay. Ya se de k tecnica trata el video. Palabra-clave: unhooking Saludos  unhooking?? unnn esta es una tecnica usada para pasar firewalls, que sepa para pasar la defensa proactiva del kav o del avast imposible, esta vaina me tiene mamado como un pu..... estudiare asm. porque con asm va la marea,  |
|
|
|
|
En línea
|
@L3x
|
|
|
|
Hendriҳ
|
Palabra-clave: unhooking
Mas bien SSDT Restoring, pues tendremos que resetear esa tabla para poder unhookear las direcciones del Kav, lo intente y encontre poquisima información (en ingles), casi nada, habia codigos que lo intentaban pero no la reparaban del todo, y otros que lo intentaban pero daban BSOD.... Un Saludo  |
|
|
|
|
En línea
|
Muchas veces las cosas no se le dan al que las merece más, sino al que sabe pedirlas con insistencia. - Arthur Schopenhauer |
|
|
Tughack
Desconectado
Mensajes: 498
|
lol... ok, como kieras... EDIT: Hendrix, al parecer la tecnica k usa caleb resulta en un .exe con 350 kb xD Asi k seria mucho mejor encontrar un bug en el kav. Os dejo esto: http://www.bugtraq.ir/exploit/26887Hay aki uno k ya funciono para saltar la proactive defense y el codigo no es muy largo, intente hacerlo antes de conocer este exploit y mi primer problema fue no poder aceder directamente a los threads del kav Saludos |
|
|
|
« Última modificación: 25 Abril 2008, 12:26 por Tughack »
|
En línea
|
|
|
|
|
Hendriҳ
|
Ya conocia esta vulnerabilidad del Kav, eso les pasa por no verificar las direcciónes al analizarlas  |
|
|
|
|
En línea
|
Muchas veces las cosas no se le dan al que las merece más, sino al que sabe pedirlas con insistencia. - Arthur Schopenhauer |
|
|
|
|
|
Hendriҳ
|
|
|
|
|
|
En línea
|
Muchas veces las cosas no se le dan al que las merece más, sino al que sabe pedirlas con insistencia. - Arthur Schopenhauer |
|
|
|
|
|
Hendriҳ
|
Como sabras el kaspersky hookea la api NtOpenProcess, vigila que no le abran su pid, lo que hace es lo siguiente: If (pid == mipid)
{
return INVALID_HANDLE;
}
else
{
VerdaderaNtOpenProcess(pid);
} Las declaraciones no son correctas, pero es para que se entienda. El fallo aqui es que si se pasa como pid una dirección que no exista, que sea aleatoria, el driver del Kav va a pasarle a la api NtOpenProcess una dirección que no exista, lo que conlleva una bonita BSOD. Si verificase que la dirección esta "dentro de lo posible" no daria BSOD. |
|
|
|
|
En línea
|
Muchas veces las cosas no se le dan al que las merece más, sino al que sabe pedirlas con insistencia. - Arthur Schopenhauer |
|
|
|
 |
