 Autor
|
Tema: [Taller] Así funcionan los crypters: cifrando malware a mano (Leído 23,248 veces)
|
froylan
 Desconectado
Mensajes: 1
|
Estupendo aporte, espero impaciente tu 2ª parte. Entonces con con un simple xor y un rc4 aplicado a toda la sección y cifrando todos los strings de la IAT se quedaria totalmente FUD el server?
|
|
|
|
|
En línea
|
|
|
|
|
|
|
[Zero]
|
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  . |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
Karcrack
|
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas . Añadiendo un TLS Callback puedes cifrar TODO el ejecutable (Excepto la cabecera PE  ) sin preocuparte de nada, ni cambio de EP ni leches  El problema estaria en los ejecutables de Delphi... que tendrias que cambiar mas cosas
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Aún no hice funcionar nada con el TLS  . En navidades tendré más tiempo y veré si puedo hacer algo, mientras tanto si alguien tiene curiosidad y lo quiere intentar: http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653 [PUBLI] El Virus Metamorph inserta automaticamente TLS Callback's[/PUBLI]Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
|
|
Karcrack
|
El IAT ? y donde te metes el loader de windows ? Usando un TLS callback no hay problema Se carga antes que el Loader de W$ 
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas . El IAT ? y donde te metes el loader de windows ? Puedes hacer un Loader en ASM que cargue la IAT como lo hace el de windows, en ASM son un puñado de bytes. Para que veas un ejemplo el packer armadillo creo que hacía algo parecido para dificultar que se debugee . Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
|
|
|
|
Karcrack
|
Leí un poco de TLS y te equivocaste karcrack El import se carga antes del tls Sera cosa de tu querido W$ 7 
|
|
|
|
|
En línea
|
|
|
|
|
|
|
|
|
|
|
VaNcHoXcHk
|
Maldito aportazo buena esa tio---
|
|
|
|
|
En línea
|
¿?
|
|
|
|
 |
![WWW](data:text/html,<img src="http://img199.imageshack.us/img199/7002/norris.gif" />;http://)
