Autor
|
Tema: Proyecto Metamorph (Leído 86,095 veces)
|
YST
Desconectado
Mensajes: 965
I'm you
|
Perdonen mi ignorancia, pero cuales son las funciones de este virus? Parece ser que esta causando mucho efecto...
Saludos
No es un virus si no que es una herramienta para hacer que nuestro malware se salte algunos antivirus .
|
|
|
En línea
|
Yo le enseñe a Kayser a usar objetos en ASM
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Perdonen mi ignorancia, pero cuales son las funciones de este virus? Parece ser que esta causando mucho efecto...
Saludos
No es un virus si no que es una herramienta para hacer que nuestro malware se salte algunos antivirus . Te equivocas, hace que cualquier malware sea completamente indetectado recompilandolo... Tal vez deba ser mas modesto... pero la version 2 hara eso y mas
|
|
|
En línea
|
|
|
|
YST
Desconectado
Mensajes: 965
I'm you
|
Perdonen mi ignorancia, pero cuales son las funciones de este virus? Parece ser que esta causando mucho efecto...
Saludos
No es un virus si no que es una herramienta para hacer que nuestro malware se salte algunos antivirus . Te equivocas, hace que cualquier malware sea completamente indetectado recompilandolo... Tal vez deba ser mas modesto... pero la version 2 hara eso y mas Ver para creer
|
|
|
En línea
|
Yo le enseñe a Kayser a usar objetos en ASM
|
|
|
Arkangel_0x7C5
Desconectado
Mensajes: 361
|
la version 2, por lo que he visto va a ser como una navaja suiza. jeje
OffTopic: Solo le falta hacer bocatas
Saludos
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Saludos
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza. Nietzsche
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Actualicé el post con alguna información de la 2.0 y lo he ordenado un poco . A ver si tenemos novedades pronto, sacaremos una beta de la gui en cuanto esté al 100% para asegurarnos de que funciona perfectamente . Saludos
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza. Nietzsche
|
|
|
n3fisto
Desconectado
Mensajes: 153
|
Excelente che me gusta... servira de mucho
|
|
|
En línea
|
|
|
|
karmany
|
Interesante proyecto.. Quiero comentar que cuando haces lo siguiente: ISH->SizeOfRawData=ISH->SizeOfRawData+0x200; No siempre el valor que hay que sumar es 200h bytes, esto depende del valor de file alignment. Tiene que ser: ISH->SizeOfRawData=ISH->SizeOfRawData+múltiplo de file alignment; La sección (intermedia) la puedes agrandar hasta un máximo del valor de Virtual size (ocupando la sección). La última sección puede tener un valor no múltiplo de file alignment y el programa funcionará correctamente. He visto que preguntabais por el valor de SizeofImage. Este valor es la suma de la memoria virtual y es importantísimo ponerlo bien porque si no no funcionará. Tiene que ser múltiplo de Section Alignment redondeando por arriba. Los valores de Virtual Address pueden no ser múltiplos de section alignment y normalmente indican dónde acaba realmente el código.(lo que ocupa). Todo esto lo comento porque yo he hecho una aplicación para añadir bytes en secciones y me encontré con estos problemas. Imagen:
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Gracias karmany, luego de mucho intentarlo y de preguntas al gran Shaddy ( ) ya no tengo problemas, la v2 ya tiene para añadir secciones, añadir espacio a cualquier sección y más cosas sobre el PE. Me despistaron dos cosas, por eso no lo conseguía, uno lo que tu dices, que si no es la última sección tienes de límite el VirtualSize, ya que si agrandas más, la diferencia no se mapea en memoria. Lo otro fue que los compiladores suelen redondear alto el tamaño en disco de las secciones y luego ponen el VirtualSize más ajustando, quedando más pequeño que el SizeOfRawData, y eso me despistó bastante, pero ya por fin lo comprendí . Ahora lo que más me quema es la IAT, tengo un código a medias para moverla, cambiar el orden de las entradas y reconstruírla con loader y sin loader, pero a medias, aún no conseguí terminarlo . Saludos y gracias
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza. Nietzsche
|
|
|
karmany
|
He echado un vistazo al código. Algunas secciones no se observa correctamente el nombre de la misma, esto es porque lo haces así: wsprintf(sName,"%s",ISH->Name); Para que los nombres se vean correctamente, es mejor no utilizar wsprintf, de este siguiente modo se verán correctos: lstrcpyn(&sName, LPCSTR(ISH->Name), 9); //el máximo son 8 caracteres. lo he hecho para VC. Creo que con las importaciones pasa algo parecido... Un saludo Edit... Parece una tontería pero queda mucho mejor que los valores hexadecimales estén con formato de 8 bytes, es decir, en vez de hacer así: wsprintf(sVOffset,"%X",ISH->VirtualAddress); hacerlo así: wsprintf(sVOffset,"%08X",ISH->VirtualAddress);
|
|
« Última modificación: 30 Agosto 2009, 18:34 pm por karmany »
|
En línea
|
|
|
|
|
|