Buenas noches a todos. Desde hace poco empezó mi interés en el mundo del malware. Quisiera aclarar algunas dudas, la primera de ellas es respecto a la forma de escalar privilegios y al bypass del antivirus.
El primer tema para tratar es sobre escala de privilegios que al momento de atacar un equipo es necesario escalar privilegios para hacer cambios en el registro y replicar el ejecutable en alguna carpeta del sistema como system32.  Leí que esto se puede lograr inyectándose a un proceso que tenga privilegios de administrador y ejecutar las instrucciones alojado en ese proceso. En que proceso puedo inyectar la dll para escalar privilegios? Si me inyecto en el navegador puedo hacer saltarme el firewall del Windows? Si intento establecer una conexión después de inyectar la dll en el navegador es necesario hockear la función la función send o write del socket o puedo abrir y conectarme con un socket individual desde la dll?

Respecto al segundo tema que es el bypass de los antivirus me surgen algunas preguntas. La primera es la siguiete:
¿Suponiendo que alojo todo mi código de inyección en una función de c++ es posible que mediante la dirección de la función y el sizeof de la misma pueda usar otra función para cifrarla?
Me explico, obtengo la dirección de memoria de la función que se encarga de inyectar la dll y el tamaño en bytes de esta. Lugo cifrar esa porción de la memoria mediante xor para después recuperarla y ejecutarla.

¿Otra pregunta y para no molestar más… Quisiera saber que tan eficiente seria reservar una giga de memoria y operar sobre la misma con dos for anidados. Esto con el fin de hacer un bypass a la heurística activa del antivirus?

Es que estoy usando dos programas ollydbg y lordPE, en el lordpe te sale el punto de entrada y algo que se llama imageBase si tu sumas la direccion de imagBase con la del punto de entrada en LordPe, en olly deberia coincidir con la direccion en la que esta el punto de entrada.


Me explico mejor (entryPoint + imageBas) = direccion en Olly. El imageBase es siempre 400000 es decir que el punto de entrada en olly deberia ser 400000+(punto de entrada en lordPe). Eso es lo que he visto en la mayoría de tutoriales al respecto. Pero eso no ocurre en este caso. Cada vez que abro el .exe en Olly y en lordPe cambia ese imageBase. Apesar de marcar 400000 en LordPe.



Perdon si no me puedo hacer entender bien :S

Según lordPe la imageBase es de 400000 pero cuando hago el calculo en ollydbg es de 850000 o de 1170000. He visto varios post respecto al tema y en ollydbg siempre tienen una ImageBase de 400000. Alguien me puede decir a que se debe esto ?. Para que la imagebase no cambie cada vez que cargo el exe a olly.

Uff hombre ese tema esta excelente estoy trabajando en c++ y efectivamente lo que intente fue crear la llave en el run. Esta muy bueno el post, gracias.

---

Tienes algun pdf o algun post donde hablen sobre el tema de instaladores. Como usar instaladores para crear cualquier llave en el registro y que el antivirus no lo vea sospechoso. Yo estoy usando winrar en modo auto extraible. Hago que se ejecute el archivo .reg e inmediatamente después se ejecute mi .exe. Todo esto en modo silencioso, obviamente use un joiner para meterlo en un pdf. Pero el antivirus me bloquea la llave. No se si es porque no tiene alguna firma reconocida. Pero me gustaría saber si puedes pasarme algo de instaladores a ver si me funciona.


Estaría muy agradecido.

MOD: No hacer doble post. Usa el botón modificar.

Bueno ahora necesito burlar esa medida de seguridad, eso creo que tiene que ver con la reaccion proactiva. Ya no se trata de firmas, necesito un metodo donde el antivirus vea seguro crear esa llave en el registro en modo silencioso. Pero no he encontrado la manera, ni mucha informacion.

Claro que he intentado con un .bat y obviamente creándola desde un .exe pero ejecuto el .exe y hace todo lo que debería hacer menos crear la llave. Intente por otro métodos y aun seguía sin crearla. Luego desactive el antivirus y funciono por todos los métodos que antes fallaron. Ley el historial del antivirus de los registros y decía "Bloqueado automáticamente",  y la descripción era la de mi .exe o .reg o .bat. Una llave en esa dirección con ese nombre.

Necesito sugerencias para crear una llave en SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run para que algo se ejecute al iniciar windows. Necesito hacerlo de alguna manera en que el antivirus no lo vea sospechoso. O de plano, no me bloquee la accion. Hay alguna forma de hacerlo, ley por ahi que con un instalador en modo silencioso que ejecute el exe y añada la llave con un .bat o algo así, se podria engañar al antivirus. Pero mi experiencia con instaladores es 0.


Me podrían ayudar con este método del instalador. O alguna forma de hacer que no bloquee la acción directamente.

Buenas a todos estoy creando un troyano. El problema surge en la auto replica, estoy usando el siguiente código en c++ para hacer que se replique en la carpeta system32 pero al parecer no puedo. Puedo copiarlo a diferentes carpetas del sistema pero no a las de windows. El código es el siguiente.

wstring getRuta() {
	wstring path = _wgetenv(L"windir");
	path += L"\\System32\\";
	return path;
}

Acá obtengo la ruta en la que quiero que mi .exe se replique y con la siguiente funcion es cuando hago el copiado.

void copiar(wstring cad) {
	cad += L"windr32.exe";
	const wchar_t* camino = cad.c_str();
	wchar_t buffer[256];
	HMODULE exe = GetModuleHandle(0);
	GetModuleFileName(exe, (LPWSTR)buffer, 256);
	CopyFile(buffer, camino, 0);
}

Como pueden ver obtengo la ruta de mi ubicación actual y me replico en la carpeta de System32. Obviamente esto ejecutando mi .exe como administrado y el retorno de la función CopyFile es 0 por lo que en teoría se copio con éxito. Pero al revisar, no aparece el archivo, funciona bien con otras rutas como en disco local D. Espero puedan ayudarme con esto.

Si justo acabo de ver mi error. Se trabaja con unicode y no con ascci. Asi que la cuestion de la memoria cambia. Gracias :3.

Estoy creando una funcion para copiar y pegar un ejecutable en una parte de windows. La cuestion es que en dev C++ las apis que usaba haceptaban buffer de tipo char*. En visual me pide parametros de tipo lpwstr.

char buffer[256];
HMODULE exe = GetModuleHandle(0);
GetModuleFileName(exe, (LPWSTR)buffer, 256);
cout<<buffer<<endl;
 

Imprimi en consola el resultado de buffer y lo unico que se ve de la ruta es C. No se copia toda la ruta al buffer. Que debería hacer ?. En dev c++ solo tenia que pasar lo siguiente.

char buffer[256];
HMODULE exe = GetModuleHandle(0);
GetModuleFileName(exe, buffer, 256);
cout<<buffer<<endl;
 

Que tipo de variable debo delcarar el buffer para obtener la ruta de mi exe.

Una de las cosas que vi, es que se usan buffer del tipo wchar_t. Que no estoy seguro de como usarlos, si alguien me puede poner un ejemplo le agradezco.