Páginas: 1 [2] 3 
|
 |
|
 Autor
|
Tema: Sacacorchos 1.0, detector/extractor de configuración para troyanos (Leído 18872 veces)
|
Thor
 Desconectado
Mensajes: 1.199
|
Intentalo !! Ya veras como no es dificil. Y si no lo logras ya te ayudaremos entre todos.
Suerte !
|
|
|
|
|
En línea
|
|
|
|
zhynar_X
Desconectado
Mensajes: 516
Use linux my friend...
|
Thor ya tengo informacion sobre el Tequila Bandita. Ya se donde se aloja todo pero el unico lenguaje que se para crear ejecutables es VB.
¿Crees que lo logre?
Pon la info asi intentamos hacer parte del code  Saludos |
|
|
|
|
En línea
|
Me he creado un blog: http://zhynar.blogspot.com Aver si os gusta!  Optimista es aquel que cree poder resolver un atasco de trafico tocando el claxon (Anonimo) |
|
|
Dominicano
Desconectado
Mensajes: 936
|
Yo no menejo mucho los programa de hex editor, ( yo uso, Hex Workshop ) pero lo estoy intentando con la primera version del poison ivy v1.0, ok eh creado un server y lo eh editado, y eh visto los nombres de algunas configuraciones,
como la no ip, user ID, active x keys, password, file name,
y algo mas que no tengo claro, tantos numeros me ponen locos, y alguna otra cosa que no se aclar, y la verdad es que no tengo claro que hacer con ellas.
saludos...
|
|
|
|
« Última modificación: 29 Diciembre 2007, 16:44 por Dominicano »
|
En línea
|
|
|
|
???
Desconectado
Mensajes: 239
++ Elite Hacker ++
|
Yo me apunto... aunque preferiria hacerlo en VB o VB.net ya que seria mucho más sencillo que crearlo en C... Además en lugar de detectar la configuración seria mejor enfocarse en detectar el orgiden del ataque, es decir quien es el que configuro el troyano, desdeque Ip lo controlaba, etc.. Esa información seria muucho más util.. Posteen el codigo o las caracteristicas de los prototipos que tengan y luego vamos mejorandolos de apoco... Salu2!!  |
|
|
|
|
En línea
|
|
|
|
???
Desconectado
Mensajes: 239
++ Elite Hacker ++
|
Los pasos a seguir para añadir otro troyano/malware serían:- Ver en que parte se escribe la configuración, usando editores hexadecimales que permitan comparar dos ejecutables.
- Si está codificada ver como descodificarla, bien "a ojo" puede ser un simple xor, bien mirando el código fuente del troyano si está incluido, o usando algún debugger como ollydbg.
- Cuando ya tenemos la configuración en texto plano, tendremos que ver en que orden se escriben los diferentes campos, la longitud de estos, si se usa algún delimitador para separarlos etc...
- Ya lo último es hacer un programa, da igual el lenguaje, que reciba como segundo parámetro el servidor del troyano, y devuelva la configuración de este.
Para los 3 primeros pasos no es necesario saber programar, y el lenguaje no es ninguna limitación. Por ejemplo alguien podría postear donde escribe un troyano la configuración y que estructura sigue esta y otro podría hacer el programa. Saludos. Me parece Bien.. posteen donde se guarda la configuración de los diferentes troyanos y que tipo de encripción usa, hecho esto codear sera más facil.. PD: En cuanto tenga tiempo busco los datos de algun troyano comun.. para mientras si alguien encuantra algo posteelo.. |
|
|
|
|
En línea
|
|
|
|
Freeze.
Desconectado
Mensajes: 2.403
FireSoft
|
En la sección Troyanos y Virus AntiTequila Beta..!Gracias Thor por el animo  |
|
|
|
|
En línea
|
Gana premios:
|
|
|
Thor
Desconectado
Mensajes: 1.199
|
Estoy con el poison ivy 1.0.0, el cliente escribe la configuraciones en posiciones especificas del ejecutable. Seguramente haya dejado espacio en el código para las variables que el editor tenga que configurar, algo así: #include<stdio.h>
int main(){
char* dns = "#################################";
...
} Y después desde el editor accede a los offsets del stub donde esta esa variable y la modifica. Así no tiene ni que usar recursos, ni escribir la configuración en EOF (que da problemas con algunos crypters). El caso es que se puede hacer un extractor accediendo a los mismos offsets a los que accede el editor del troyano. Pero si es pasado por un compresor como upx, ya no funcionaría. Primero habría que descomprimirlo y rezar porque no haya desplazado ni un solo byte esas variables. Bueno...no cuesta mucho hacer el extractor así que se hace. Habrá que ponerse las pilas en temas de unpackers. ActualizoCódigo en C del extractor para el poison ivy 1.0.0: http://rapidshare.com/files/80213573/PoisonIvy1.0.0.c.htmlEs un código muy sencillo, esta versión al menos no codifica la configuración. Mñn sigo con el resto de versiones, lo mas complicado fue usar ollydbg para ver como escribe el editor al configuración sobre el server. Una primera versión de la interfaz tmb dentro de poco  |
|
|
|
« Última modificación: 31 Diciembre 2007, 03:36 por Thor »
|
En línea
|
|
|
|
Freeze.
Desconectado
Mensajes: 2.403
FireSoft
|
Estoy con el poison ivy 1.0.0, el cliente escribe la configuraciones en posiciones especificas del ejecutable. Seguramente haya dejado espacio en el código para las variables que el editor tenga que configurar, algo así: #include<stdio.h>
int main(){
char* dns = "#################################";
...
} Y después desde el editor accede a los offsets del stub donde esta esa variable y la modifica. Así no tiene ni que usar recursos, ni escribir la configuración en EOF (que da problemas con algunos crypters). El caso es que se puede hacer un extractor accediendo a los mismos offsets a los que accede el editor del troyano. Pero si es pasado por un compresor como upx, ya no funcionaría. Primero habría que descomprimirlo y rezar porque no haya desplazado ni un solo byte esas variables. Bueno...no cuesta mucho hacer el extractor así que se hace. Habrá que ponerse las pilas en temas de unpackers. ActualizoCódigo en C del extractor para el poison ivy 1.0.0: http://rapidshare.com/files/80213573/PoisonIvy1.0.0.c.htmlEs un código muy sencillo, esta versión al menos no codifica la configuración. Mñn sigo con el resto de versiones, lo mas complicado fue usar ollydbg para ver como escribe el editor al configuración sobre el server. Una primera versión de la interfaz tmb dentro de poco En el poison apenas consegui descubrir unas configuraciones |
|
|
|
|
En línea
|
Gana premios:
|
|
|
Dominicano
Desconectado
Mensajes: 936
|
En el poison apenas consegui descubrir unas configuraciones posteala macho, aver si eso me ayuda a aclararme mas. saludos... |
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.199
|
Corregido fallo en el detector del poison ivy 1.0.0 y hecho un detector para las versiones 2.1.x y 2.2.0: http://rapidshare.com/files/82099328/PoisonIvyDetectors1.0.0-2.2.0.rar.htmlUn amigo, Psymera, me dijo que estaba haciendo una interfaz y que seguramente los "detectores" serían estos exe's convertidos a dll's. De momento no es prioritario hacerlo vistoso y útil, mas bien es ir viendo si es posible hacer esto para unos cuantos troyanos y si hay gente dispuesta a colaborar. Ya solo faltan las versiones 2.3.x Saludos. |
|
|
|
« Última modificación: 08 Enero 2008, 02:22 por Thor »
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.199
|
Posteo para informar de que en el primer post se ha añadido la interfaz hecha por Psymera y se han convertido los "extractores" en dll's, plugins. Ya es un programa algo mas útil. Hay un plugin hecho en delphi para aquellos que no sepan C. http://foro.elhacker.net/index.php/topic,192611.msg915116.htmlAhora a hacer plugins, a ver si alguno se anima a hacer uno en VB para que el lenguaje no sea barrera para nadie. Saludos. |
|
|
|
|
En línea
|
|
|
|
E0N
Lab &
Colaborador
 Conectado
Mensajes: 2.616
|
Muy buen programa clap clap clap Felicidades |
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.199
|
Gracias Ahora ando algo liado, ademas el maldito PI 2.3.0 es como un rompecabezas, se va "montando" según las opciones que elijas. Pero bueno ya casi lo tengo, espero que la versión 2.3.1 no cambie mucho :S |
|
|
|
|
En línea
|
|
|
|
andyzut
Desconectado
Mensajes: 17
La verdad es la adaptación de la realidad.
|
Mira xomi a mi tambien m ha pasado q varios troyanos dntro d otras cosas han atacado mi pc... La info q pud averiguar d la IP fue: Pais: United States Region IL Ciudad: Chicago Latitude: 41.8675 Longitude: -87.6744 Area Code: 312 Cualquier cosa si necesitan mas info siempre algo c puede hacer.. Suert. |
|
|
|
|
En línea
|
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas.
|
|
|
Thor
Desconectado
Mensajes: 1.199
|
Genial !! ahora lanzo una bomba atómica sobre esa zona.
|
|
|
|
|
En línea
|
|
|
|
|
Páginas: 1 [2] 3 
|
|
|
 |
