Asique si yo meto ese codigo en mi malware, para q cuando este analizandose en ollybdg cierre todo, bloquee teclado, elimine los puntos de restauracion, elimine archivos importantes para el inicio de el SO, y se reinicie forzosamente.. ahi puedes hacer algo? Teniendo en cuenta q vs no sabias q tenia este codigo, q solo te darias cuenta al intentar analizarlo y como dije antes pasaria todo eso y entonces no podrias hacer nada, q podes hacer ahi?
Esq yo decia para q no lo analizen, ya q desp de eso como consigues el malware otra vez?
Este programa esta protegido por un par de packers que en cuanto detectan al olly, te hacen causan algunos daños y luego reinician la pc, ya lo modifique para que no haga cambios en mi SO y tampoco reinicie, solo me falta eliminar un par de llamadas y podre desempacarlo para modificarlo
, como dije anteriormente los daños que cause no me preocupan en absoluto
A eso me referia 43H4FH44H45H4CH49H56H45H(Codelive), Supongo que tienes 2 formas de debuguear, a mano (viendo linea por linea) y "ejecutando" cosa que ahi no te daras cuenta, y no hara nada "malo" para no levantar sospechas
Creo que en este caso debriamos dividir en dos tipos de análisis, puesto que si fuera un soft comercial obviamente yo notaria las diferencias cuando se ejecuta en Olly y cuando se ejecuta normalmente.
En caso de malware, la técnica cambia, puesto que para que harian un programa que haga nada o solo abra otro programa
ademas de que una de las caracterisiticas de la mayoria de los malware's es tener el menor tamaño posible.
No tiene sentido hacer un CrackMe si ya sabes la tecnica que utiliza para protegerse...
Que mejor si haces un Crack Me y vemos que tan dificil puede ser quitar esta u otra protección.
la dificultad de este metodo reside en que es desconocido, por lo tanto tu nunca sabrias en que parte del codigo se hace la busqueda del OllyDbg... asi que no podras parchear
Hay cientos de programas con técnicas desconocidas pero igual se van rompiendo sus protecciones,el que sea desconocida no implica que no sea crackeable...
En el caso de Vb, es uno de los mas sencillos de debuggear, uso Olly como una herramienta secundaria (en vb) que utilizo solo para la modificación, antes puedo utilizar vb decompiler, p32dasm, etc...
Si utilizo un decompiler (que hay varios), ahi ya puedo saber las Api's que utiliza el programa y tener una aproximacion de que es lo que hace para luego debuggearlo con Olly, de ahi es pan comido.
Solo los packers pueden dar una mayor protección, pero igual pueden vencerse
Respecto a las acciones... imagina que infecto el calc.exe inyectando codigo en el binario original... añado la comparacion y si no estamos en el olly busco otros ejecutables e infecto, pero si estamos en el olly ejecuto el calc.exe con normalidad...
Tratandose de análisis de malware, en mi caso puedo utilizar regshot1_7_2, un fileSystemWatcher que tengo creado (uno en .NET, otro C++) con eso me bastaria para tener una aproximación de que hace el malware.
En conclusión primero debo saber que tipo de análisis hacer al programa, luego puedo descompilarlo para tener una aproximación de código, ejecutarlo para saber que cambios realiza en el sistema y por ultimo debuggearlo para modificar algunas cosas (si lo necesito). Esto puedo hacerlo en un VM o en mi mismo S.O. que esta preparado para eso, estos son algunos de los archivos que me toco analizar hace un tiempo para obtener el nivel de daño en un S.O.
Ninguno fue dificil
Saluos.
Autor
En línea
(nunca lo he usado 
, solo viendo que api es llamada luego de que detecte a olly (eso deacuerdo al programa si lanza un msgbox o finaliza el programa por ejemplo) podemos llegar a la funcion que se encarga de la deteccion, para saltarse este truco solo basta lo siguiente:
