últimos mensajes de: Karcrack - Página 1

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

25 Abril 2024, 10:44 am

Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)

Mostrar Mensajes
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 187

1	Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Duda PE Crypter	en: 3 Julio 2014, 14:40 pm
Cita de: x64Core en 3 Julio 2014, 09:34 am Para mi el mapear el archivo es innecesario sino que alguien diga porque es necesario mapearlo. No es necesario mapearlo. En mi opinión es más sencillo trabajar cuando te olvidas de buffers. No tienes que usar una cosa para leer y otra para escribir, sencillamente trabajas con punteros y luego lo reflejas en disco...

2	Seguridad Informática / Análisis y Diseño de Malware / Re: UAC Task Manager	en: 19 Junio 2014, 03:06 am
Aquí esta la lista de procesos que se pueden auto-elevar en Win7: http://withinwindows.com/2009/02/05/list-of-windows-7-beta-build-7000-auto-elevated-binaries/ Si puedes inyectar código en alguno de esos procesos ya puedes hacer la llamada COM para copiar la DLL a la ruta protegida y haciendo DLL hijacking ejecutar tu código con privilegios elevados. Aquí está todo el proceso detallado: http://www.pretentiousname.com/misc/W7E_Source/win7_uac_poc_details.html Ese cambio se hizo tras las quejas de lo molesto que era UAC en Windows Vista. Si cambias la configuración a protección máxima incluso los accesos de los procesos del listado harán saltar el prompt...

3	Seguridad Informática / Análisis y Diseño de Malware / Re: UAC Task Manager	en: 17 Junio 2014, 04:53 am
Esto es debido a la configuración por defecto de UAC en Windows 7 y que ya estás logueado en una sesión de administrador, en Windows Vista si que te saltaría la ventana. Por defecto el taskmgr es capaz de auto-elevarse. La verdad es que no sé qué procesos tienen esa capacidad, he visto que otros programas como mmc.exe también pueden. Lectura interesante: http://www.rohitab.com/discuss/topic/38607-disable-uac-elevation-dialog-by-patching-rtlqueryelevationflags-in-windows-explorer/

4	Seguridad Informática / Criptografía / Re: AES 128 bits Encrypt [ASM Bit slice]	en: 17 Mayo 2014, 01:42 am
Muy buen código a pesar de AT&T , gracias por compartir

5	Programación / ASM / Re: Mostrar librerias cargadas en programa	en: 29 Abril 2014, 23:41 pm
Cierto, exageré la cifra. Discúlpame. Ya puedes irte. Saludos

6	Programación / ASM / Re: Mostrar librerias cargadas en programa	en: 29 Abril 2014, 22:50 pm
Cierren esto ya. De dónde no hay no se puede sacar. @Buster_BSA: Qué bueno verte tras más de un año, se ve que vienes a aportar a la comunidad PD: http://foro.elhacker.net/analisis_y_diseno_de_malware/iquestsaltarse_heuristicas_y_sandbox_modeando-t378027.0.html;msg1818817#msg1818817 @x64Core: Yo no dije a nadie que viniese a nada y no tengo nada que ver con tu Jabber. No deberías hacer acusaciones sin ningún fundamento. @Vaagish: Si quieres podemos mantener una conversación más productiva por MP...

7	Programación / ASM / Re: Mostrar librerias cargadas en programa	en: 26 Abril 2014, 17:07 pm
Cita de: x64Core en 26 Abril 2014, 16:57 pm Lo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl. Ese tipo que ha programado un bootkit puro copy-paste de carberp + StBt Framework y ahora piensa que es un hacker de elite, por favor... La gente que no sabe del tema es claro que lo piensa pero los que sabemos de eso, sabemos que es un scriptkiddie. Se ve que sabes quién es ese americano y pasas horas con él en IRC Me resulta curioso que siempre acabas usando argumentos ad hominem Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.

8	Programación / ASM / Re: Mostrar librerias cargadas en programa	en: 26 Abril 2014, 16:03 pm
Cita de: x64Core en 25 Abril 2014, 20:57 pm Me pregunto si ese scriptkiddie americano hizo todo ese analisis o sólo se le ocurrio joder en NTDLL... Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo. Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel. La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...

9	Programación / ASM / Re: Mostrar librerias cargadas en programa	en: 25 Abril 2014, 16:04 pm
Cita de: x64Core en 25 Abril 2014, 14:45 pm Heuristica estatica? Más bien seria escaneo de bytes utilizando algún algoritmo. Pero sí, la conversación se desvio. ¿Y como demonios la heuristica dinamica puede ser una maquina virtual? La tecnologia heuristica dinamica ya existia antes que la implementación de VMs en Anvitirus de hecho hoy en dia hay Antivirus que no tiene una VM pero sí un emulador de código y que hacen uso de heuristica dinamica junto con el emulador para la detección. por ejemplo Avira, Eset nod32. Yo no me estoy inventando ningún término. Puedes leer más al respecto y verás que la heurística dinámica va cogida de la mano de la emulación de código y también del análisis de comportamiento (behavioral). Cita de: x64Core en 25 Abril 2014, 14:45 pm En Comodo sobre Windows de 32-bits de nada sirve hacer unhooking de modo usuario, apuesto lo mismo que en Avast, no sé no lo he comprobado, en Comodo sobre Windows de 64-bits te pregunto de que sirve hacer unhooking de modo usuario por ejemplo en NtCreateFile para escribir en el disco y saltarse la sandbox? Comodo no lo he probado pero esto funciona con el Avast: http://www.malwaretech.com/2013/09/fighting-hooks-with-hooks-sandbox-escape.html Cita de: x64Core en 25 Abril 2014, 14:45 pm Mirar sandboxie es simplemente una sandbox, no hay analisis para la detección y eliminación del malware. Pensaba que hablabamos de diferencias en cuanto a las técnicas de sandboxing Cita de: x64Core en 25 Abril 2014, 14:45 pm Avast, Comodo son Antivirus que incluyen una sandbox pero eso no quiere decir que si el usuario decida no ejecutar en ella el archivo no seria analisado, este es siempre analizado. habria que saber Avast ejecuta un fichero sospechoso dentro de la sandbox sin que le digas nada de nada. Decide si es potencialmente peligroso mediante heurística estática. Cita de: x64Core en 25 Abril 2014, 14:45 pm Pero Karcrack, si piensas que estoy equivocado danos tu punto de vista demostrando que estoy en lo incorrecto, si fuese así es tiempo de programar algún POC ¿Equivocado en qué?

10	Programación / ASM / Re: Mostrar librerias cargadas en programa	en: 25 Abril 2014, 13:21 pm
Cita de: x64Core en 25 Abril 2014, 03:55 am Karcrack, El problema principal en el tema '¿Saltarse heuristicas y sandbox modeando?' fue la confusión de terminos Si el Antivirus esta detectando el malware por heuristica es porque esta siendo emulado, VM y lo que se debe hacer es detectar si el código esta siendo emulado además de cualquier posible VM. Lo mismo esta sucediendo aquí por eso estoy de acuerdo con Buster. Si el malware está siendo detectado por heurística es que PUEDE estar siendo emulado. La detección heurística estática también existe. No sé si hubo confusión con términos o no, lo que está claro es que la discusión se desvió a si era posible escapar de una VM (Yo entiendo que la sandbox o la heurística dinámica son también máquinas virtuales). Cita de: x64Core en 25 Abril 2014, 03:55 am Y Además noté que en tu código agregas guard32.dll/guard64.dll para supuesta detección de la sandbox pero en ambos casos este o no el programa en la sandbox siempre será cargado lo unico que se conseguirá es que el programa no se ejecute en ningun Windows que tenga instalado el Comodo, ese no es el punto no? Diras que los hooks de modo usuario son la sandbox porque probablemente lo leiste en algun articulo o te equivocaste de nombre del modulo? Si lees la página original donde posteé el código verás que es una mejora de otro código propuesto por un usuario. Y sí, la lista de DLLs es la del código original. Este código tan sólo detecta si alguna de esas librerías está en la lista del PEB. La idea de la detección no es cerrarse sin más, sino hacer unhooking. En este caso Comodo y Avast lo ponen bastante fácil... Cita de: x64Core en 25 Abril 2014, 03:55 am Y habria que aclarar antes de entrar en confusión como sucedio en el otro tema, Vagish quiere detectar si el programa esta siendo analizado por el Antivirus sandbox/VM. Yo diría que Vaagish quiere saber si una librería está cargada en el proceso... Cita de: x64Core en 25 Abril 2014, 03:55 am Agregado: Noten la diferencia entre los programas como Sandboxie y el Analisis de Antivirus. ¿Cuál es la diferencia según tú? Para mí hay bien poca en el caso de muchos AVs. @Vaagish: Me sorprende que así puedas descargar la librería. ¿Seguro que no te lo detecta como malicioso al finalizar el análisis?

Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 187

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines