Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Mad Antrax en 23 Diciembre 2007, 18:47



Título: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 23 Diciembre 2007, 18:47
Bueno, ya terminé la nueva versión 0.2.1...

Aquí vuelve ||MadAntrax|| con otra de sus aplicaciones...

Cactus Metamorph 0.2.1

Foto Ventana Principal

(http://img156.imageshack.us/img156/4122/dibujotb7uq1.bmp)

Foto vMap: Offset Pointer

(http://img179.imageshack.us/img179/8547/vmaprr1.bmp)

Foto Ventana de .log's

(http://img152.imageshack.us/img152/7871/cinfour4.bmp)

Listado de funcionalidades 0.2.1

[ + ] Función añadida
[ X ] Modificación / Mejora

[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Fecha y Hora del sistema (se usará en futura versión 0.3)
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ X ] Mejoradas las estadísticas, ahora son más eficientes
[ X ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ X ] Se han cambiado los valores hexadecimales de los diccionarios
[ X ] Aumentados y mejorados los niveles de Ofuscación


Descripción

Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.

Para que sirve?

Los AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:

fichero1
Citar
01010101011101010101

Los AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es 01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al AntiVirus, por ejemplo:

fichero2
Citar
01010101011111010101

Al realizar está técnica pueden ocurrir 3 cosas:

  • El fichero final se ha modificado perdiendo su funcionalidad
  • El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
  • El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando

Está claro que nosotros queremos llegar al 3º punto, pero no es una tarea sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo ligeramente modificado, sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.

Como funciona realmente?

Cactus Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO de los Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.

Cabe destacar que Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su MD5, CRC32, etc...

Entonces... ¿este programa deja indetectable cualquier fichero o troyano?

No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.

Este programa te permitirá modificar de forma masiva aquellos Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:

  • Un fichero funciona indetectable
  • Un fichero funcional detectado
  • Un fichero no funcional (roto)

Dependiendo del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un MD5 distinto. Disfrútalo

;)

Bueno, dejo ya de escribir, espero que haya quedado claro más o menos cómo funciona el programa. Os recomiendo que lo probéis, modifica un fichero y lo subes a virustotal.com para ver si has conseguido "burlar" algún Antivirus.

LINK DE DESCARGA AQUÍ ABAJO, SOLO USUARIOS REGISTRADOS


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 23 Diciembre 2007, 18:53
Bug's detectados en la versión 0.2.1

1) En algunos casos y si el nivel de Ofuscación es muy elevado, el ejecutable final queda inestable o inservible.

Esto no se si podré arreglarlo, si te ocurre esto lo mejor es bajar el nivel de Ofuscación.

2) En algunos casos y si el nivel de Ofuscación es muy elevado el icono del ejecutable final queda modificado o inservible.

Esto no es un problema grave, al fin y al cabo el fichero final es estable y funcional, realmente es lo que importa más

3) La opción de modificar el EOF no preserva los datos del fichero original, esto supone un problema en ficheros parecidos al server del Bifrost

Preservar los datos actuales del EOF original será una función para añadir en la versión 0.3

4) Si intentas encriptas un fichero de tamaño elevado (> 350) el programa se demora muchísimo, llegando a tardar unos 10 minutos.

El programa busca, compara y modifica todos y cada uno de los offset's de un fichero, esto supone un bucle bestial y muchas comparaciones, por eso se demora tanto.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: invisible_hack en 23 Diciembre 2007, 18:54
Creo....que te faltó poner el link de descarga amigo... :xD

Saludos...


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: YaTaMaS en 23 Diciembre 2007, 18:58
Creo....que te faltó poner el link de descarga amigo... :xD

Saludos...

Fijate bien... :¬¬

cactus metamorph.zip (32.3 KB - descargado 1 veces.)



Muy interesante Mad, gracias  :) :)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: The Box en 23 Diciembre 2007, 19:03
En hora buena ||MadAntrax|| ya les echaremos un vistazo

felices fiestas

saludos...


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: WHK en 23 Diciembre 2007, 19:07
Felicidades, te ha quedado muy bueno  ;D


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: invisible_hack en 23 Diciembre 2007, 19:09
Ah si disculpen, ya vi el link...  :-X

Saludos...


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: ©Da Wonder®™ en 23 Diciembre 2007, 19:30
Se Ve Muy Interesante...Gracias Por La Informacion Detallada

Feliz Navidad  ;)  :rolleyes:


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Karcrack en 23 Diciembre 2007, 21:09
Muy bueno. Siempre sorprendiendo a todo el mundo :o
Muy bien explicadito todo ;D

Felices fiestas :D

Bueno, todo sea por ayudar... por ahora solo he visto un 'problema' :xD el icono de la barra de inicio es diferente al del ejecutable.
MOD:Tambien permite seleccionar otros ficheros que no sean ejecutables.

 Por lo demas, Siempre consigues superarte ;D


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: ebola_30 en 23 Diciembre 2007, 22:30
muchas gracias por el programa,muy interesante, a probarlo  ;)
feliz navidad a todos  :)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 23 Diciembre 2007, 22:42
Ha alguien le ha servidor? habeis podido modificar un ejecutable para dejarlo indetectable al menos con un AntiVirus?

Yo lo he intentado y he conseguido hacer indetectable algunas versiones del cactus.dll (Cactus Joiner) y de algunos virus poco conocidos. He intentado con Poison Ivy y Bifrost, el archivo no se "rompe" pero sigue siendo detectable pues sus Offset's delatores forman parte del código vital del ejecutable y no se pudieron modificar.

Espero leer vuestros logros, si es que conseguís alguno!


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Man-In-the-Middle en 24 Diciembre 2007, 01:07
Enga Mad como siempre sorprendiendo con nuevas Tecnicas `para el deleite de los usuarios,  muy buen programa :).

Feliz Navidad

MITM


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: DonVidela en 24 Diciembre 2007, 02:59
Lo voy a probar  ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: alexkof158 en 24 Diciembre 2007, 07:43
Gracias.
Haber entonces este programa esta a medias. bueno entonces a probar y dejar comentarios.

ESTA EN ETAPA DE METARFOSIS.(CUCARACHA)

Y FELIZ NAVIDAD.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: faralito en 24 Diciembre 2007, 20:51
buen programa :o buena idea la de modificar todos los offset no vitales si se usa con troyanos poco conocidos ira de perlas aki falta un muñekito k aplauda  ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Tyrz en 25 Diciembre 2007, 00:43
mmm... por que después de haber cerrado el programa sigue consumiendo recursos y muchos? A lo mejor no acaba de cerrarse bien, no se yo al menos he tenido que cerrarlo desde el administrador de tareas
Venga un saludo y bonito programa madantrax


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 25 Diciembre 2007, 01:03
mmm... por que después de haber cerrado el programa sigue consumiendo recursos y muchos? A lo mejor no acaba de cerrarse bien, no se yo al menos he tenido que cerrarlo desde el administrador de tareas
Venga un saludo y bonito programa madantrax

Cuando se lanza el proceso de cambiar los Offset's se utiliza un nuevo Thread independiente del Form1 (ventana principal). Si intentas interrumpir el proceso cerrando el formulario el thread se quedará ejecutando en segundo plano. Para solucionar esto hay que "matar" el proceso desde el Administrador de Tareas.

En el listado de bug's ya he puesto que falta el botón de "Detener" xD pero por el momento es algo que no me preocupa.

Saludos!!


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: bug_over en 25 Diciembre 2007, 05:13
Orale me parece estupenda tu Aplicacion aunque aun no la he descargado, pero por la descripcion es fabulosa es algo que la verdad tenia en mente por mucho tiempo parte eso se refiere a mi nick Morpmitrio ajola te animes algun dia a post parte del code fuente ... saludos


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: [Zero] en 25 Diciembre 2007, 13:10
Bravo, un 10 como siempre. Me ayudó a indetectar mi propio keylogger que algunos AV me lo detectaban!  ;D
Salu2


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 25 Diciembre 2007, 13:36
Bravo, un 10 como siempre. Me ayudó a indetectar mi propio keylogger que algunos AV me lo detectaban!  ;D
Salu2

Perfecto! La idea de Cactus Metamorph es ésta! Funciona de maravilla para el "malware doméstico" permitiendo modificar todos los offset's "inútiles" para tratar de cambiar la firma del Antivirus.

Dentro de un par de días sacaré la nueva versión con el módulo "Virtual EOF" funcionando. Se aceptan sugerencia sy mejoras para añadir al programa. Saludos!!

 :rolleyes:


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Freeze. en 25 Diciembre 2007, 20:47
El unico problema es que nunca he logrado terminar ni un solo fichero. ¿Porque?

-Tarda mucho
-Nisiquiera tiene un boton minimizar
-Tal vez se podria hacer mas facil 'guardarlo' en la barra donde estan todos los iconos (hora,AV,msn)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: [Zero] en 25 Diciembre 2007, 23:01
Si, es buena idea lo de que se quede minimizado junto al reloj de windows, podrías implimentarlo con cSysTray, muy facil de usar.
Salu2


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 25 Diciembre 2007, 23:06
Si, es buena idea lo de que se quede minimizado junto al reloj de windows, podrías implimentarlo con cSysTray, muy facil de usar.
Salu2

Si algún usuario es algo observador sabrá que ninguna de mis aplicaciones lleva implementada la opción del icono en SysTray, hay que usar API's y estructuras, el código es algo extenso, consume demasiado tiempo de CPU para el efecto obtenido, y es muy feo para mi gusto xD.

Por eso no vereis unca ninguna aplicación mia con SysTray habilitado :rolleyes:

(La nueva versión está al salir, nuevas funciones, mejoras en GUI y módulos, más rapido y estable)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: [Zero] en 25 Diciembre 2007, 23:15
Si, es buena idea lo de que se quede minimizado junto al reloj de windows, podrías implimentarlo con cSysTray, muy facil de usar.
Salu2

Si algún usuario es algo observador sabrá que ninguna de mis aplicaciones lleva implementada la opción del icono en SysTray, hay que usar API's y estructuras, el código es algo extenso, consume demasiado tiempo de CPU para el efecto obtenido, y es muy feo para mi gusto xD.

Por eso no vereis unca ninguna aplicación mia con SysTray habilitado :rolleyes:

(La nueva versión está al salir, nuevas funciones, mejoras en GUI y módulos, más rapido y estable)


Yo se lo estoy poniendo a mi automsn 2.5 y no observo eso para nada, al minimizr el form se vuelve invisible y sigue trabajando y al hacer click se vuelve visible, y no m e consume tanta cpu, pero es mi opinion.
Salu2


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 25 Diciembre 2007, 23:17
Yo se lo estoy poniendo a mi automsn 2.5 y no observo eso para nada, al minimizr el form se vuelve invisible y sigue trabajando y al hacer click se vuelve visible, y no m e consume tanta cpu, pero es mi opinion.
Salu2

No consume CPU, consume tiempo de CPU al saltar los eventos de MouseOver, MouseClick, actualizar el icono, ponerlo, quitarlo, etc... Principalmente te diré que no pongo el SysTray porque no me gusta, ademas de las otras opciones.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: [Zero] en 25 Diciembre 2007, 23:20
Si, puede ser, ademas, en esta aplicacion tampoco es tan necesario, si lo sería en un freezer, pero tu programa esta d lujo asi  ;D
Salu2


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 26 Diciembre 2007, 02:45
Avance sobre la próxima versión:

(http://img245.imageshack.us/img245/523/cmetamorphio1.png)

Aquí tenéis una imagen de lo que será la próxima versión 0.2 de Cactus Metamorph. Se han solucionado algunos bugs y se han añadido nuevo módulos y mejoras, aparte, ahora el código está algo más optimizado y es más rápido y estable y dejo el listado de funciones:

  • Nivel de ofuscación aumentado (de 15 a 25)
  • Diccionarios más amplios y efectivos
  • El Diccionario 'Estático' es ahora más dinámico. Permite seleccionar de forma aleatoria el carácter hexadecimal que se usará
  • Añadido el módulo de 'Añadir secciones: EOF Virtual'. Permite falsear y aumentar el tamaño del ejecutable final
  • Añadido el módulo de 'Clonación de Código'. Permite reemplazar el código del malware por código real de otra aplicación inofensiva, para confundir a los AV's
  • Estadísticas mejoradas y más precisas
  • Añadida hora del sistema que se utiliza para mejorar la semilla aleatoria (Random Seed)
  • Añadida la opción de mostrar un informe al final del proceso con todos los cambios realizados al ejecutable
  • Añadido botón de Detener, funciona a la perfección
  • Añadido botón de minimizar. No SysTray
  • Arreglado botón de cerrar (x). Ahora funciona y detiene el proceso
  • Mejorada barra de %. Más precisa con archivos pequeños.
  • Mejorada GUI, barra de texto animada y movible
  • Añadido sistema de ayuda (Help). Muestra cuadros dinámicos en el centro
  • Mejoras en el código interno. Mayor estabilidad y rapidez

Opciones que faltan:

  • Preservar EOF original (para ejecutables tipo Bifrost que almacenan información en su EOF

Si alguien quiere incluir una nueva opción o mejorar una que ya existe que lo diga ahora!! Saludos y gracias!!



Otra cosa... ¿Queréis que publique el source de esta aplicación? o por el contrario pensáis que es mejor no publicarlo para evitar futuras copias ilegitimas (como sucedió con el Cactus Joiner y MSN Kick)  >:(

Espero respuestas...


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Juanse 254 en 26 Diciembre 2007, 05:17
a mi me gusto mucho jejej , me has dejado sorprendido...


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: alexkof158 en 26 Diciembre 2007, 05:28
barbaro. Nueva ecolucion


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: alvar12 en 26 Diciembre 2007, 06:50
muy bueno aunque no me salio pero tendre q seguir intentando
oie una duda cuando stienes el cactus? que ya sirva
talves ya esta pero no lo encuentro


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: crauss en 26 Diciembre 2007, 13:13
esta mazo de guapo gracias por el prograama


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Karcrack en 26 Diciembre 2007, 18:03
Citar
Otra cosa... ¿Queréis que publique el source de esta aplicación? o por el contrario pensáis que es mejor no publicarlo para evitar futuras copias ilegitimas (como sucedió con el Cactus Joiner y MSN Kick) >:(

Espero respuestas...

Yo no liberaria el CODE, si eso libera el code de la version primera (0.1) para que la gente sepa lo que hace, pero las mejoras que estas implementando no las compartas... ahi mucha gentuza :xD


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: alexkof158 en 26 Diciembre 2007, 22:14
 :o :o :o sisax, hay mucha gentuza como tu.  ¡¡¡¡¡¡


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Karcrack en 27 Diciembre 2007, 10:06
:o :o :o sisax, hay mucha gentuza como tu.  ¡¡¡¡¡¡
:xD Mu bueno ;D

PD: No desvies el post :P


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: jurifrisky en 27 Diciembre 2007, 17:20
MADANTRAX

Esta hecho en visual basic?
Si es asi me harias un gran favor si me pasaras el codigo fuente.

GRAN PROGRAMA

ta lue


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Freeze. en 27 Diciembre 2007, 17:59
MADANTRAX

Esta hecho en visual basic?
Si es asi me harias un gran favor si me pasaras el codigo fuente.

GRAN PROGRAMA

ta lue

Jejeje, me parece que no lo sabrias usar. :P :P :P

Y ps Mad no es tonto :xD


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: jurifrisky en 27 Diciembre 2007, 21:40
NO se porq lo dices freeze, pero no esta muy bien eso de subestimar a gente q no conoces de nada


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Freeze. en 27 Diciembre 2007, 21:57
NO se porq lo dices freeze, pero no esta muy bien eso de subestimar a gente q no conoces de nada

Tienes razon no te conozco y me disculpas pero..

- Mad dijo que aun no sabia, que opinaran.
- La gente 'seria' no anda pidiendo los sources de aplicaciones.
- Tienes 4 Msjs a lo mejor no eres de fiar. nunca se sabe.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: nhaalclkiemr en 27 Diciembre 2007, 22:27
Parece bueno...lo voy a probar

Sobre lo de que distribuyas el codigo eso es cosa tuya...si lo distribuyes ya sabes lo k conlleba...eso tendrás que decidirlo tu...

A mi lo que me surgen son dudas sobre lo que hace...yo al principio pensé que era un crypter...pero lo que hace es modificar directamente en el ejecutable (eso es muy peligroso jeje)

Weno a mi lo que me gustaría es que me explicases es mas detalladamente varias cosas:

-como hace para detectar los offsets k no son peligrosos?
-los modificas aleatoriamente o sigues algún patron?
-eso del diccionario sería el numero de offsets k se modificarán, no?
-eso del EOF virtual no se que es...
-pork konsume tantos recursos?? (no lo prové pero lo dices tu k los consume con archivos un pokito grandes)
-y por ultimo...modificar los offsets asi al boleo no es mas propenso a joder la aplicación y dejar libre el offset que es detectado??

Weno buen trabajo...lo probaré a ver que tal..

Saludos y feliz navidad ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 27 Diciembre 2007, 23:49
-como hace para detectar los offsets k no son peligrosos?
Utilizo un algoritmo casero (programado por mí) para detectar que offsets no son "vitales" para un ejecutable

Citar
-los modificas aleatoriamente o sigues algún patron?
Actualmente, el patrón de modificación viene dado por el diccionario que escojas, en la futura versión estará la opción de Clonación de Código que sirve para modificar esos offsets con los offsets de otra aplicación inofensiva, para despistar un poco a los AV.

Citar
-eso del diccionario sería el numero de offsets k se modificarán, no?
No, como he dicho arriba el diccionario es el patrón de modificación. El número de offsets viene dado en el tamaño de la ofuscación. Cuanto más ofuscas, más offsets modificas (lo que conlleva más riesgo de cargarte el binario).

Citar
-eso del EOF virtual no se que es...
En la futura versión servirá para añadir una nueva sección al ejecutable para alterar su tamaño, agregando algunos bytes al final (esto sí que es peligroso, está en fase beta).

Citar
-pork konsume tantos recursos?? (no lo prové pero lo dices tu k los consume con archivos un pokito grandes)
El programa abre el ejecutable en modo Binary Access Read, vuelca su contenido en una variable Array del tipo Byte y crea un bucle desde el inicio hasta el fin del código, convirtiendo cada valor en Hexadecimal y realizando todo el algoritmo para detectar si es un offset "vital" o no, esto como comprenderás conlleva unos milisegunso por offset, dependiendo del PC.

Citar
-y por ultimo...modificar los offsets asi al boleo no es mas propenso a joder la aplicación y dejar libre el offset que es detectado??
No los modifico a boleo, sigo un algoritmo casero. Dependiendo del ejecutable será más facil joderlo o no. Si se trata de un server del bifrost o poison ivy... te aseguro que por muchos offsets "no vitales" que modifiques, te seguirá siendo detectado, pues su firma está en los offsets vitales que no se llegan a modificar.

Hay otros ejecutables que por poco que los modifiques se joden, el algoritmo no se puede adaptar a todos ellos, pero abarca un gran abanico de posibilidades. Lo bueno es que tú puedes escoger cuantos offsets se modificarán a través del nivel de ofuscación. Si te peta una aplicación prueba de bajar esa barra y listos.

Próxima versión 0.2: 80% terminada


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: nhaalclkiemr en 28 Diciembre 2007, 03:05
Muchas gracias por la explicación...

Es que a mi más que usar los programas me gustan saber más como funcionan...

Lo k me gustaría es saber el algoritmo ese casero que sigues tu para detectar que offsets son vitales y cuales no...pero weno a lo mejor te lo quieres reservar...

Weno saludos ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: kichan en 28 Diciembre 2007, 17:21
-esta hecho en -vb cierto ?

yo no le veo mucha utilidad real a este programita...


y como comentaban tiene ciertos bugs..que es necesario arreglar


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: ~~ en 28 Diciembre 2007, 17:33
Hola Mad, lo primero, muy weno el programa, para camuflar virus poco conocidos seguro q vale  ;D

Respecto a esto:
Citar
En la futura versión servirá para añadir una nueva sección al ejecutable para alterar su tamaño, agregando algunos bytes al final (esto sí que es peligroso, está en fase beta).

Añadir una sección es bastante lioso, y da un monton de problemas (lo digo por experiencia..) si kieres simplemente alterar el tamaño del ejecutable simplemente amplia la ultima sección (claro respetando la info de los servers y tal) q es bastante menos lioso y no hay q cambiar tantas cosas en el pe.
Si kieres una manita para ampliar el tamaño de la ultima sección solo dimelo y te ayudo ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: -sagitari- en 28 Diciembre 2007, 17:38
Es bastante curioso el programa. Veo que no te rindes. Vi la primera versión y hasta ahora has avanzado mucho como supongo también lo estarás haciendo en conocimientos.

Así que no queda más que felicitarte por tu trabajo y sigue así.
Y como no, darte las gracias por compartirlo.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: vero22 en 28 Diciembre 2007, 23:59
Muy buen programa . Lo de modificar los ofset ,aunque hay programas que te facilitan un poco las cosas , es bastante pesado y lleva su tiempo.ya era hora de que saliera algo asi . Ese es el camino para vencer la batalla   :xD :xD :xD .yo me he puesto con el vb a ver si hago algo bonito. lo dicho enhorabuena y por favor NO PROBAR EN VIRUSTOTAL.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: nhaalclkiemr en 29 Diciembre 2007, 05:20
Weno aún me sigue interesando saber el algoritmo que utilizas para saber que offsets son peligrosos y cuales no...si estas dispuesto a decirlo claro...

Lo de crear una nueva sección tiene razón EON...tienes que modificar bastantes cosas y como de todas maneras si no cambias el EntryPoint esa sección nuncca se ejecutrará que más te da añadir los bytes k kieras al final del archivo que no importa para nada???

Citar
NO PROBAR EN VIRUSTOTAL.

Jaja con este programa es igual provar en VIRUSTOTAL o no...pork no crea ningun stub ni nada parecido asi k da igual jeje

Si kieres puedes probar a añadir una opcion que modifique la Imagen Base de las secciones del ejecutable...esto confunde a algunos AV's..aunke wneo es dificil detectar cual es justo esa parte jeje...

Saludos ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Tughack en 29 Diciembre 2007, 18:51
jajaja ya haras un stasfodido Metamorph xDDDD


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 29 Diciembre 2007, 20:19
que más te da añadir los bytes k kieras al final del archivo que no importa para nada???
Si hago esto, me cargaré la config de los troyanos que utilicen su EOF para almacenar variables (por ejemplo Bifrost) es por eso que quiero implementar la opción de "añadir secciones al ejecutable", aunque sea complicado al menos lo intentaré

Citar
Jaja con este programa es igual provar en VIRUSTOTAL o no...pork no crea ningun stub ni nada parecido asi k da igual jeje
Exacto! podéis enviar los ejecutable modificados a Virustotal para comprobar si funciona, pues no usa stub ni añade ningún código/patrón estático a los ejecutables.

jajaja ya haras un stasfodido Metamorph xDDDD
Que ni se le ocurra ...  :¬¬


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: nhaalclkiemr en 29 Diciembre 2007, 20:35
jajaja ya haras un stasfodido Metamorph xDDDD

Jaja hombre Tughack!!! ya tardabas :xD :xD

A lo mejor prefieres sacar tu dos versiones una publica y otra privada...cuanto kieres k te pague por la privada??? :D :D :P :P :xD

No trankilos que la verdad no me parece una cosa muy util...no es por criticar ehh pero como dice Mad la efectividad es muy baja...prefiero los crypters :P :xD

Pero nunca está de más...queda como una Tool y listo  :xD

A mi la verdad lo unico que me interesa de este programa es saber el algoritmo que sige para saber que offsets son esenciales y cuales no...

Y weno pues ya te dije antes asi alguna opción más podría ser poder cambiar la Imagen Base de las secciones del ejecutable...eso confunde a algunos AVs pero la verdad pocas veces...

Saludos ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Tughack en 29 Diciembre 2007, 20:40
Perdona pero.. Imagen Base de las secciones del ejecutable?

No kieres decir ImageBase del ejecutable?

Salu2 xD


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: ~~ en 30 Diciembre 2007, 01:50
Citar
Si hago esto, me cargaré la config de los troyanos que utilicen su EOF para almacenar variables (por ejemplo Bifrost) es por eso que quiero implementar la opción de "añadir secciones al ejecutable", aunque sea complicado al menos lo intentaré

No necesariamente, puedes ampliar el tamaño de la ultima sección y luego poner al final del todo la config sin ningun problema (hazme caso q ya lo e hecho yo a mano mas de una vez...)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Tughack en 30 Diciembre 2007, 02:19
Citar
Si hago esto, me cargaré la config de los troyanos que utilicen su EOF para almacenar variables (por ejemplo Bifrost) es por eso que quiero implementar la opción de "añadir secciones al ejecutable", aunque sea complicado al menos lo intentaré

No necesariamente, puedes ampliar el tamaño de la ultima sección y luego poner al final del todo la config sin ningun problema (hazme caso q ya lo e hecho yo a mano mas de una vez...)

Si es lo mejor, al anadir una sección el kav lo detecta como virus modification...

Salu2


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: mauro89 en 1 Enero 2008, 17:22
esta muy bueno tu programa madantrax, me parece muy original lo que as creado. ensima despues de la creacion del cactus joiner... te sarpas!!!
lastima que lo probe con el bifrost 1.2b y el 1.2, el poison ivy 2.3.0 y el 2.1.4 y no me funciono en ninguno. tal vez lo haga indetectable pero queda inservible el server.
ya probare con otros troyanos, virus, keylogger a ver q onda.

saludos


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: ??? en 1 Enero 2008, 21:06
Muy buena tool...
Mis felicitaciones y ojala y que saques mas versiones del programa...

Salu2 ;)


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: alexkof158 en 2 Enero 2008, 01:38
Hola, me imagino que ta tiene la version 2 x que vos dijistes que la ibas a sacar en dos dias, dale que ya queremos probar. La nueva era de los Troyanos  :rolleyes: :rolleyes: :rolleyes:


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Tefaa en 2 Enero 2008, 11:47
Muy buen aporte. :)
Felicitaciones.


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: -[black_hack]- en 4 Enero 2008, 02:22
De publicar el code,yo no lo haría,hay muchos codes que son en realidad copias de otros,incluso codes viejos "mios"...


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Axus en 4 Enero 2008, 03:16
De publicar el code,yo no lo haría,hay muchos codes que son en realidad copias de otros,incluso codes viejos "mios"...

MM tienes razon muchos ron copy-paste :xD


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: askrator en 8 Enero 2008, 20:24
Gracias ||MadAntrax|| cada día mejor jeje.

Un saludo


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: traetormentas en 12 Enero 2008, 10:40
||MadAntrax|| amigo, impresionante tu programa... Muchas gracias...

Hice una humilde traducción, al ingles... :)

(http://img339.imageshack.us/img339/8172/cactusencv5.jpg)


Descarga: http://rapidshare.com/files/83165343/cactus_metamorph_en.rar.html

Saludos (http://es.geocities.com/polifemo10/troyan/brindar.gif)





Título: Re: [#] Cactus Metamorph 0.1
Publicado por: Mad Antrax en 12 Enero 2008, 11:46
Hice una humilde traducción, al ingles... :)

Muchas grácias por tu esfuerzo, este fin de semana termino y publico la versión 0.2
Si quieres te paso el código fuente para que edites el texto y lo pongas en inglés sin usar ningún editor Hexadecimal :)

Gracias


Título: Re: [#] Actualizado: Cactus Metamorph 0.2 (12/01/08)
Publicado por: traetormentas en 12 Enero 2008, 16:22
Citar
Si quieres te paso el código fuente para que edites el texto y lo pongas en inglés sin usar ningún editor Hexadecimal  :)

Muchas gracias bro, se ahorraría mucho trabajo... ;D enviamelo por PM o a polifemo(arroba)datafull.com

Saludos (http://es.geocities.com/polifemo10/troyan/brindar.gif)


Título: Re: [#] Actualizado: Cactus Metamorph 0.2 (12/01/08)
Publicado por: Lewert en 13 Enero 2008, 15:22
Primero de todo, felicitarte por este proyecto ;) ;)
Pero me quedan un par de dudas...

1 - Mientras se esta ejecutando el programa, porque en estadisticas me sale X total de Offsets y cuando se acaba no es el mismo numero? No entiendo :-\

2 - Que quieres decir en el boton de Salir con lo de "Perder los cambios realizados"? Que acaso hay que guardarlos? Si le doy a Si, es como si no hubiese hecho nada?

Una observacion: en la opcion de Empezar y Detener, estaria bien que si el usuario le diese a Detener y luego a Empezar (siempre que este toda la configuracion igual), empezase por el porcentaje que se ha quedado, porque sino puede ser que el .exe se queda inservible.


Título: Re: [#] Actualizado: Cactus Metamorph 0.2 (12/01/08)
Publicado por: Mad Antrax en 13 Enero 2008, 16:04
Citar
1 - Mientras se esta ejecutando el programa, porque en estadisticas me sale X total de Offsets y cuando se acaba no es el mismo numero? No entiendo :-\
que extraño, de todas formas esos valores son meramente informativos, es curioso que no te coincidan, lo reviso ahora.

Citar
2 - Que quieres decir en el boton de Salir con lo de "Perder los cambios realizados"? Que acaso hay que guardarlos? Si le doy a Si, es como si no hubiese hecho nada?
No hombre, te dice que perderás los cambios de la configuración (las opciones que marcastes), una vez terminado el proceso los cambios se guardan solos.

Citar
Una observacion: en la opcion de Empezar y Detener, estaria bien que si el usuario le diese a Detener y luego a Empezar (siempre que este toda la configuracion igual), empezase por el porcentaje que se ha quedado, porque sino puede ser que el .exe se queda inservible.
Lo estuve mirando, pero el trabajo que requiere programar eso no se compensa con el resultado obtenido, el proceso normal en un archivo de menos de 350kb no supera los 30 segundos, ¿para que vas a querer detener el proceso?

Otra cosa, si detienes el proceso a la mitad, el EXE no se rompe, ya que el programa no guarda los cambios si no llega al 100% del proceso. Si lo detienes antes, el EXE queda intacto y es como si no hubieses hecho nada.

Saludos



Nueva versión 0.2.1

- Arreglado los problemas con las estadísticas, ahora SÍ funcionan sin problemas
- Añadido vMap: Offset Pointer, permite ver de forma visual los cambios realizados en el código
- Añadido sistema de Log's, genera un fichero con las opciones seleccionadas, así como un listado completo de los offset's modificados, para usarlos junto con otro programa o guardarlos para un futuro
- Mejoras en el código

EDIT: Más de 100 descargas para la nueva versión 0.2.1 y ningún comentario, eso significa que no hay nada que mejorar?


Título: Re: [#] Cactus Metamorph 0.1
Publicado por: the_gladiator en 27 Enero 2008, 21:42
buen programa :o buena idea la de modificar todos los offset no vitales si se usa con troyanos poco conocidos ira de perlas aki falta un muñekito k aplauda  ;)
bbbbbbbbbbbb


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: conxuro en 30 Enero 2008, 18:43
Acabo de probar la versión inglesa que baje de Rapidshare, funciona muy bien con programas en ASM y claro como son de pequeño tamaño la conversión es muy rápida.
Una idea fantástica, gracias por hacer el programa publico.
Confieso que me gustaría echar una ojeada al código; pero no es necesario para traducir al ingles, si quieres me das los chars en español y los traduzco, por ejemplo:
Hora sistema=System time
Archivo=Archive
Tamaño=Size
Etc.
Si quieres lo haría con mucho placer, estos días tengo mucho tiempo en las manos.
Voy a ver si puedo bajar la versión nueva probar con programas en diferentes lenguajes: ASM, Delphi, Visual C++, etc. Ya daré los resultados.
Gracias y saludos


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 30 Enero 2008, 23:42
Acabo de probar la versión inglesa que baje de Rapidshare, funciona muy bien con programas en ASM y claro como son de pequeño tamaño la conversión es muy rápida.
Que versión inglesa? Oficialmente solo hay publicada una sóla versión en castellano, para evitar que descargues una posible copia infectada o 'con regalito' te recominedo que bajes la versión oficial 0.2.1 desde este foro (el link está en el primer mensaje)

Citar
Voy a ver si puedo bajar la versión nueva probar con programas en diferentes lenguajes: ASM, Delphi, Visual C++, etc. Ya daré los resultados.
Da igual con que lenguaje esté programado el EXE que quieras modificar, Cactus Metamorph no diferencia los ejecutables y los trata a todos por igual. Procura variar el nivel de ofuscación para obtener un ejecutable modificado y funcional

Saludos, MadAntrax!!


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: conxuro en 31 Enero 2008, 00:41
Gracias por la respuesta, me refería a la posteada aquí en la pagina 4 respuesta #59.
Solo ofrecía a traducir al ingles en caso de que pensaras distribuirla a las personas de habla inglesa. La mejor forma de hacer la traducción sin tener que dar el código es dar las palabras que quieres traducir y después recompilar, yo uso un programa que me facilita la tasca.
Saludos


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Wildbridge en 1 Febrero 2008, 12:45
Wenas..al parecer muy bueno..lo que no llego a entender es por que hay dos link para descargar... :rolleyes: que diferencia tienen??  :¬¬

saludos


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 1 Febrero 2008, 14:33
Wenas..al parecer muy bueno..lo que no llego a entender es por que hay dos link para descargar... :rolleyes: que diferencia tienen??  :¬¬

saludos

El primer link es la versión 0.1, el otro link es la nueva version 0.2.1. He querido dejar las 2 versiones porque hay usuario que los coleccionan o lo quieren para almacenar todas las versiones.

Saludos


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Throglokan en 1 Febrero 2008, 16:14
Te felicito por este gran trabajo a mi me ha funcionado a las mil maravillas con mis herramientas. Me gustaria si pudieras referenciarme algo de documentación para trabajar con el formato PE desde VB.

Aunque me considero un muy buen coder y lo suficientemente profesional como para no piratear tu software, no me atrevo a pedirte el source porque este es mi primer mensaje.

Anyway, si quieres enviarmelo, mi dirección es putoamo.aven(arroba)gmail.com

Te puedo ayudar en lo que necesitas de programación, si quieres trabajo en aquello de ocultarlo en system tray mediante mis propios codigos API, sin usar nada de terceros. Lo que necesites. Lo unico que creo que no conocia era esto de modificar PEs.

Mil y mil gracias.


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Wildbridge en 2 Febrero 2008, 12:14
Hola....gracias por responder lo de las versiones...
Una consulta...me quda inservible el server del bifrost, a pesar de que probe con todos casi todas las opciones , posibles, clonar/ofuscacion etc...
alguna sugerencia...:)

gracias...


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 2 Febrero 2008, 12:35
Entonces... ¿este programa deja indetectable cualquier fichero o troyano?

No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.

Lo dejé bien claro en el primer mensaje (que por lo que veo no leíste). Los AV se han molestado en poner las firmas que los detectan en aquellos offsets que NO se pueden modificar.

Ademas, con servers tipo Bifrost (que utilizan su EOF para almacenar la configuración) no podrás usar el método de añadir 'EOF Virtual' ya que si no lo dejarías inservible.

Te dejo una foto de la versión 0.3 final. Tengo que retocarla mucho aún. No he programado ningún modulo nuevo aún, sólo he mejorado la GUI y las funciones internas, haciéndolo más estable y rapido que la actual versión.

(http://img404.imageshack.us/img404/5433/cactusmeta3te1.png)

Falta añadir los módulos de: Modificar el EntryPoint, Editor de Recursos, Editor de Strings, etc... Estos módulos no se si podré terminarlos, ya que es complicado hacer una misma función que se pueda utilizar con todos los ejecutables compilados... ya veremos

 >:D

Saludos!!


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: TCL_ZIP en 22 Febrero 2008, 12:38
seria posible una versión para linux? :P


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Karcrack en 22 Febrero 2008, 14:49
seria posible una versión para linux? :P

No lo creo, esta hecha en VB :-\
Pero que te conteste el Autor, tal vez nos sorprenda :xD


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 22 Febrero 2008, 18:57
Y el autor responde.... NO

No programo para linux sencillamente porque no tengo ni pu** idea

xD


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Nakp en 25 Febrero 2008, 05:43
Y el autor responde.... NO

No programo para linux sencillamente porque no tengo ni pu** idea

xD

ahh... que cab. :xD tanto cuesta pasarse por el sub-foro de linux a preguntar? jajaja.. les cuento si funciona con wine :¬¬ *prueba*



*regresa* nop :-\ ni small joiner, pero si PI (el cliente, el server se muere xD)... toca usar una máquina virtual >:D


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: huevocap en 2 Marzo 2008, 23:09
ESta bueno  :rolleyes:


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: skyline2412 en 10 Marzo 2008, 20:28
Felicitaciones, tiene buena pinta


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: abcdef123 en 14 Marzo 2008, 21:37
Felicidades x Cactus Metamorph 0.2.1
Pero lo he probado con un exe de 65 kbs en configuración le pongo todo al mínimo y afortunadamente lo deja indetectable pero también inservible. Pero bueno seguiré probando...
Un saludo y gracias


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Nakp en 15 Marzo 2008, 15:06
Felicidades x Cactus Metamorph 0.2.1
Pero lo he probado con un exe de 65 kbs en configuración le pongo todo al mínimo y afortunadamente lo deja indetectable pero también inservible. Pero bueno seguiré probando...
Un saludo y gracias

trata de usar un icono en el ejecutable y usa un nivel de ofuscación 5... eso bastará ;) comprobado

salu2


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: _Sergi_ en 27 Marzo 2008, 09:20
Bueno (vaya, hacía muchíiiiisimo que no me pasaba por aquí xDDD) lo he probado y aparte de que el aspecto y funcionamiento es muy bueno, tiene toda una serie de ayudas al usuario que lo hacen sencillo de manejar e intuitivo.

He estado haciendo pruebas con el stub del cactus como dijiste y con algunos troyanos, joiners, webdownloaders etc y bueno, ha sido muy entretenido y he hecho muchos experimentos, aunque no he logrado hacer gran cosa (de momento). En resumen, la idea es genial, MadAntrax lástima que algunos AV's cojan para sus firmas offsets vitales.

Un saludo


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 27 Marzo 2008, 15:53
... ha sido muy entretenido y he hecho muchos experimentos, aunque no he logrado hacer gran cosa (de momento). En resumen, la idea es genial, MadAntrax lástima que algunos AV's cojan para sus firmas offsets vitales.

Así es, lo bueno de este proyecto es que Cactus Metamorph no añade ningún stub ni cifra nada, sencillamente modifica todos los offset's que puede para intentar dejarlo indetectable. Haciendo que el fichero modificado no contenga ningun patrón que lo identifique, (como ocurre con los joiners, crypters o packers).

Dentro de poco saco la versión 0.3 final con varias mejoras, saludos!! :)


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: runken en 6 Abril 2008, 00:45
aque probalo


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: pooper123 en 16 Abril 2008, 03:01
seems like a neat lil app, why it not cant work on Poison Ivy 2.3.2 ..??
where is the version 0.3 at..?? are you still in dev. on 0.3
does the ver. 0.3 have an English translation for it.??

------------------

   
Parece un puro lil app, la razón por la que no puedo trabajar en Poison Ivy 2.3.2 ..?
Dónde está la versión a 0,3 ..? Está usted todavía en dev. En 0,3
¿El ver. 0,3 Inglés tiene una traducción para la misma.?


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: kuji en 16 Abril 2008, 16:25
buen aporte


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 16 Abril 2008, 18:20
Citar
seems like a neat lil app, why it not cant work on Poison Ivy 2.3.2 ..??
Because antivirus software detect's vitals parts of poisonivy server that cactus metamorph can't touch :(

Citar
where is the version 0.3 at..?? are you still in dev. on 0.3
Yes, im developing at this time... coming soon...

Citar
does the ver. 0.3 have an English translation for it.??
If you translate all the strings of the program I can add an english.ini lang file.

See you.


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: geantonito en 2 Julio 2008, 18:29
Como va el projecto?Me parece muy interesante y me gustaria que siguiera adelante :)


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: andresfuen en 7 Agosto 2008, 20:58
Pense q serviria con el poison!!! ingeniero esta excelente... lastima q no lo se utilizar... no se podra hacer algo para q el poison quede indetectable???


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: cuyo en 28 Agosto 2008, 01:53
orale te quedo genial  ;D gracias porq esto nos ayuda a todos los q somos novatos y apenas estamos empezando (tengo 14 años ) xD salu2 ojala pronto saques la version 3.0


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: pepeluxx en 2 Septiembre 2008, 12:59
muy bueno. gracias


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: e500 en 13 Septiembre 2008, 08:32
* Exelente, sinceramente muy bueno...   ;)

[MSN Kick]

En el caso de NOD32, estaba siendo detectado, utilisé el "Cactus Metamorph 0.2.1" con frame "Complejidad de Diccionario" tildando el Optionbutton "Grande" y no lo detectó más. De todas formas si el optionbutto estaba en "Mediano" sí lo detectaba...

Algunos ejecutables con peso menor a 350 kb me los seguia detectando, Ejemplo bien Lammer el ICE Cold, que es un programa totalmente detectado, pero la curiosidad de hacerlo indetectable la tengo todavía...

En fin exelente aplicación, [MadAntrax!].

PD: Disculpen que reviva el Post, pero es lo mínimo que se merece Mad, Gracias =)
----


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: ElClay en 19 Septiembre 2008, 02:04
Felicitaciones x tu aplicacion la verdad a mi personalmente me parece una exelente aplicacion, ya luego se ira mejorando.

Y bueno la he probado principalmente con troyanos como Poison, Bifrost, Flux y Shark... la verdad ninguno he podido hacer idetectable el bendito nod siempre los pilla si alguien le ha funcionado xfavor postearlo a ver q tal.

esperando anciosamente una nueva version.

Exito y Salu2


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: skyller4ever en 17 Noviembre 2008, 03:59
se ve muy interesante soy nuevo en esto xD


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: almoomia en 14 Diciembre 2008, 00:00
thank yuo


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: almoomia en 14 Diciembre 2008, 00:02
Bueno, ya terminé la nueva versión 0.2.1...

Aquí vuelve ||MadAntrax|| con otra de sus aplicaciones...

Cactus Metamorph 0.2.1

Foto Ventana Principal

(http://img156.imageshack.us/img156/4122/dibujotb7uq1.bmp)

Foto vMap: Offset Pointer

(http://img179.imageshack.us/img179/8547/vmaprr1.bmp)

Foto Ventana de .log's

(http://img152.imageshack.us/img152/7871/cinfour4.bmp)

Listado de funcionalidades 0.2.1

[ + ] Función añadida
[ X ] Modificación / Mejora

[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Fecha y Hora del sistema (se usará en futura versión 0.3)
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ X ] Mejoradas las estadísticas, ahora son más eficientes
[ X ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ X ] Se han cambiado los valores hexadecimales de los diccionarios
[ X ] Aumentados y mejorados los niveles de Ofuscación


Descripción

Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.

Para que sirve?

Los AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:

fichero1
Citar
01010101011101010101

Los AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es 01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al AntiVirus, por ejemplo:

fichero2
Citar
01010101011111010101

Al realizar está técnica pueden ocurrir 3 cosas:

  • El fichero final se ha modificado perdiendo su funcionalidad
  • El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
  • El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando

Está claro que nosotros queremos llegar al 3º punto, pero no es una tarea sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo ligeramente modificado, sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.

Como funciona realmente?

Cactus Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO de los Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.

Cabe destacar que Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su MD5, CRC32, etc...

Entonces... ¿este programa deja indetectable cualquier fichero o troyano?

No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.

Este programa te permitirá modificar de forma masiva aquellos Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:

  • Un fichero funciona indetectable
  • Un fichero funcional detectado
  • Un fichero no funcional (roto)

Dependiendo del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un MD5 distinto. Disfrútalo

;)

Bueno, dejo ya de escribir, espero que haya quedado claro más o menos cómo funciona el programa. Os recomiendo que lo probéis, modifica un fichero y lo subes a virustotal.com para ver si has conseguido "burlar" algún Antivirus.

LINK DE DESCARGA AQUÍ ABAJO, SOLO USUARIOS REGISTRADOS
[/quo



thank yuo


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: devotional en 12 Mayo 2009, 06:39
Excelente aporte!

Gracias


Título: Re: [#] Actualizado: Cactus Metamorph 0.2.1 (13/01/08)
Publicado por: Mad Antrax en 12 Mayo 2009, 09:20
Excelente aporte!

Gracias

Éste proyecto ya se ha actualizado, cierro este hilo antiguo para evitar dudas, y dejo el nuevo programa:

Cactus Metamorph 0.3 (versión actual) (http://foro.elhacker.net/analisis_y_diseno_de_malware/cactus_metamorph_03_version_final_by_madantrax-t250486.0.html)

Saludos