elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware
| | |-+  Abril negro (Moderadores: Man-In-the-Middle, WHK, kub0x, fary)
| | | |-+  Proyecto Metamorph
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 4 [5] 6 7 8 Ir Abajo Respuesta Imprimir
Autor Tema: Proyecto Metamorph  (Leído 66,551 veces)
YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #40 en: 11 Julio 2009, 20:24 pm »

Perdonen mi ignorancia, pero cuales son las funciones de este virus? Parece ser que esta causando mucho efecto...

Saludos

No es un virus si no que es una herramienta para hacer que nuestro malware se salte algunos antivirus :P .


En línea



Yo le enseñe a Kayser a usar objetos en ASM
Karcrack


Desconectado Desconectado

Mensajes: 2.419


Se siente observado ¬¬'


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #41 en: 12 Julio 2009, 01:48 am »

Perdonen mi ignorancia, pero cuales son las funciones de este virus? Parece ser que esta causando mucho efecto...

Saludos

No es un virus si no que es una herramienta para hacer que nuestro malware se salte algunos antivirus :P .
Te equivocas, hace que cualquier malware sea completamente indetectado recompilandolo... :P Tal vez deba ser mas modesto... pero la version 2 hara eso y mas ;-)


En línea

YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #42 en: 12 Julio 2009, 01:53 am »

Perdonen mi ignorancia, pero cuales son las funciones de este virus? Parece ser que esta causando mucho efecto...

Saludos

No es un virus si no que es una herramienta para hacer que nuestro malware se salte algunos antivirus :P .
Te equivocas, hace que cualquier malware sea completamente indetectado recompilandolo... :P Tal vez deba ser mas modesto... pero la version 2 hara eso y mas ;-)

Ver para creer :P
En línea



Yo le enseñe a Kayser a usar objetos en ASM
Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: Proyecto Metamorph
« Respuesta #43 en: 12 Julio 2009, 01:56 am »

la version 2, por lo que he visto va a ser como una navaja suiza. jeje

OffTopic: Solo le falta hacer bocatas

Saludos
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #44 en: 12 Julio 2009, 13:29 pm »



Saludos  ;)
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #45 en: 20 Julio 2009, 15:12 pm »

Actualicé el post con alguna información de la 2.0 y lo he ordenado un poco  :P. A ver si tenemos novedades pronto, sacaremos una beta de la gui en cuanto esté al 100% para asegurarnos de que funciona perfectamente  :laugh:.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
n3fisto

Desconectado Desconectado

Mensajes: 153


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #46 en: 20 Julio 2009, 16:10 pm »

Excelente che me gusta... servira de mucho
En línea

karmany
Colaborador
***
Desconectado Desconectado

Mensajes: 1.602


Sueñas que sueñas


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #47 en: 30 Agosto 2009, 17:45 pm »

Interesante proyecto..

Quiero comentar que cuando haces lo siguiente:
Código:
ISH->SizeOfRawData=ISH->SizeOfRawData+0x200;

No siempre el valor que hay que sumar es 200h bytes, esto depende del valor de file alignment. Tiene que ser:
Código:
ISH->SizeOfRawData=ISH->SizeOfRawData+múltiplo de file alignment;

La sección (intermedia) la puedes agrandar hasta un máximo del valor de Virtual size (ocupando la sección). La última sección puede tener un valor no múltiplo de file alignment y el programa funcionará correctamente.

He visto que preguntabais por el valor de SizeofImage. Este valor es la suma de la memoria virtual y es importantísimo ponerlo bien porque si no no funcionará. Tiene que ser múltiplo de Section Alignment redondeando por arriba.

Los valores de Virtual Address pueden no ser múltiplos de section alignment y normalmente indican dónde acaba realmente el código.(lo que ocupa).

Todo esto lo comento porque yo he hecho una aplicación para añadir bytes en secciones y me encontré con estos problemas.
Imagen:
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #48 en: 30 Agosto 2009, 18:04 pm »

Gracias karmany, luego de mucho intentarlo y de preguntas al gran Shaddy ( :xD) ya no tengo problemas, la v2 ya tiene para añadir secciones, añadir espacio a cualquier sección y más cosas sobre el PE. Me despistaron dos cosas, por eso no lo conseguía, uno lo que tu dices, que si no es la última sección tienes de límite el VirtualSize, ya que si agrandas más, la diferencia no se mapea en memoria. Lo otro fue que los compiladores suelen redondear alto el tamaño en disco de las secciones y luego ponen el VirtualSize más ajustando, quedando más pequeño que el SizeOfRawData, y eso me despistó bastante, pero ya por fin lo comprendí  ;D.

Ahora lo que más me quema es la IAT, tengo un código a medias para moverla, cambiar el orden de las entradas y reconstruírla con loader y sin loader, pero a medias, aún no conseguí terminarlo  :P.

Saludos y gracias
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
karmany
Colaborador
***
Desconectado Desconectado

Mensajes: 1.602


Sueñas que sueñas


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #49 en: 30 Agosto 2009, 18:28 pm »

He echado un vistazo al código.

Algunas secciones no se observa correctamente el nombre de la misma, esto es porque lo haces así:
Código:
wsprintf(sName,"%s",ISH->Name);

Para que los nombres se vean correctamente, es mejor no utilizar wsprintf, de este siguiente modo se verán correctos:
Código:
lstrcpyn(&sName, LPCSTR(ISH->Name), 9); //el máximo son 8 caracteres.
lo he hecho para VC.

Creo que con las importaciones pasa algo parecido...
Un saludo

Edit...
Parece una tontería pero queda mucho mejor que los valores hexadecimales estén con formato de 8 bytes, es decir, en vez de hacer así:
Código:
wsprintf(sVOffset,"%X",ISH->VirtualAddress);

hacerlo así:
Código:
wsprintf(sVOffset,"%08X",ISH->VirtualAddress);
« Última modificación: 30 Agosto 2009, 18:34 pm por karmany » En línea

Páginas: 1 2 3 4 [5] 6 7 8 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
PROYECTO
Diseño Gráfico
kåhjî£ 1 1,520 Último mensaje 30 Julio 2004, 08:00 am
por Morris
Proyecto php « 1 2 ... 11 12 »
Sugerencias y dudas sobre el Foro
programatrix 111 15,166 Último mensaje 18 Septiembre 2005, 12:27 pm
por programatrix
duda con Cactus metamorph
Programación Visual Basic
[SMT] 5 2,179 Último mensaje 24 Junio 2008, 22:34 pm
por Xerok1!
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines