 Autor
|
Tema: Como funciona lo de infectar .exes y .dll ? (Leído 10,206 veces)
|
$Edu$
 Desconectado
Mensajes: 1.842
|
Solamente se de 2 formas lograr algo asi, una es uniendo como un binder o joiner el .exe con mi virus.exe, y la otra forma la busque recien y encontre de modificar el registro para que cada vez que se ejecute un .exe se ejecute tu virus, estan en otro lado instalado el virus.exe igual.
La segunda opcion no se si sirve aun y si es verdad, no se que me dicen..
Pero.. existen virus que "introducen parte de codigo malicioso a un exe", entonces aumenta el tamaño del exe y asi me di cuenta yo por ejemplo ayer que tenia un virus que me estaba infectando de esta forma los exe's. Como hacen eso? de que forma podes meter codigo a un exe?
Y para infectar dlls? para que cuando el .exe llame a esa dll se ejecute el codigo o tiene algun beneficio mas? Por ejemplo.. si tengo un compilador de un lenguaje de programacion con sus dlls infectadas, puede que me modifique algo en la generacion del exe?
Algunos ya se han acostumbrado que soy pregunton, pero para los que no, lo siento por tantas preguntas xD
Gracias!
|
|
|
|
|
En línea
|
|
|
|
Arkangel_0x7C5
Desconectado
Mensajes: 361
|
lo que se hace es agregar secciones al exe o agrandar una ya existente, luego rediriges el punto de entrada y ya lo tienes infectado, para hacerlo con dll seria como con el exe, solo que en este caso podrías enganchar las funciones exportadas de manera permanente. Lo del compilador seria posible, aunque no la he visto todavía. Pero de hacerse e infectar una compañía de desarrollo de software podría tener una gran difusión
Saludos
|
|
|
|
|
En línea
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Gracias, pero me puedes decir con palabras mas especificas, por ejemplo como se le dice a agregar secciones al exe? y lo de redirigir el punto de entrada, etc. Hablando como para yo saber que buscar para aprender mas. No importa si tu no sabes, pero lo digo por si alguien si sabe. Gracias!
|
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Puedes buscar sobre el formato PE. En este mismo foro Ferchu publicó por Abril Negro hace unos años un taller sobre el formato PE, en una de las secciones añade código a un ejecutable de forma manual. Saludos PD: Y Arkangel si sabe  . |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Cierto, algo de esto ya habia leido alguna vez, gracias como siempre [Zero] y si, veo que Arkangel si sabe del tema..
Una cosa mas.. que me dicen de la segunda opcion que comente en el primer post?
|
|
|
|
|
En línea
|
|
|
|
Elemental Code
Desconectado
Mensajes: 622
Im beyond the system
|
lo del registro? Busca reparar asosciacion archivos .exe o asi, podes infectar la "asosciacion de archivos" para que el programa pedeterminado para abrir un .txt no sea notepad, sino tu virus. O podes hacer que el programa predeterminado para abrir un programa.exe sea en lugar de Shell32 tu exe. y INFECCION  EDIT: un dato curioso para agregar. Una ves escuche de un "mito" (digo mito porque nunca lo vi) de un virus el "VIRUT" lo que hacia era escribir codigo malicioso en TODOS (literalmente) TODOS los archivos de tu pc (Doc, pdf, jpg, exe,txt todas las extensiones, todos los archivos) aunque no fueran ejecutables. Funcionaba haciendo que el antivirus detectara esas modificaciones y los considerara virus y los hiciera *****. Siendo el propio antivirus el que se encargaba de limpiarte el disco No se si existira, o si sera asi. ese es el rumor que me llego una vez |
|
|
|
« Última modificación: 7 Abril 2012, 05:39 am por Elemental Code »
|
En línea
|
I CODE FOR $$$
Programo por $$$
Hago tareas, trabajos para la facultad, lo que sea en VB6.0 Mis programas |
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Hay algunas claves que seguro se pueden utilizar par lo que dices, aunque no es muy efectivo, casi la totalidad de los antivirus monitorizan en tiempo real los cambios en el registro, y te harán muy difícil usar una de esas claves. Algo más efectivo es infectar alguna DLL que sepas que se va a cargar, o simplemente infectar todo archivo ejecutable (tanto exes como dll's) que te encuentres. También se que es posible hacer que se ejecute tu código cada vez que se alguien cargue la USER32.DLL (osea, el 99% de las veces que alguien ejecute un ejecutable), pero no recuerdo como hacerlo, el que me lo había comentado creo que era Arkangel . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Arkangel_0x7C5
Desconectado
Mensajes: 361
|
Hay algunas claves que seguro se pueden utilizar par lo que dices, aunque no es muy efectivo, casi la totalidad de los antivirus monitorizan en tiempo real los cambios en el registro, y te harán muy difícil usar una de esas claves. Algo más efectivo es infectar alguna DLL que sepas que se va a cargar, o simplemente infectar todo archivo ejecutable (tanto exes como dll's) que te encuentres. También se que es posible hacer que se ejecute tu código cada vez que se alguien cargue la USER32.DLL (osea, el 99% de las veces que alguien ejecute un ejecutable), pero no recuerdo como hacerlo, el que me lo había comentado creo que era Arkangel . Saludos esta es la clave: Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="tuDLL.dll"
"LoadAppInit_DLLs"=dword:00000001
|
|
|
|
|
En línea
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Dale, gracias Elemental Code, y gracias [Zero] ni te molestes que solo quiero saber por arriba, ya que pienso meterle a todos los temas firme cuando ya vaya 2 o 3 años en la carrera de ingenieria en computacion, sino por estudiar aca me ira mal xD aunque todavia no he ni empezado.
Yo sabia lo de las extensiones, pero no de esta forma.. solo sabia como modificar las extensiones para que por ejemplo si se ejecuta un .jpg en realidad sea un .exe y asi ni cuenta, ya que despues volvia a dejar todo como estaba.
Lo que dices EC puede ser porque no? lo unico que borrara todo el antivirus si esta programado para hacerlo, y no creo que tengas tu antivirus para borrar sin que te pregunte.
Me lei mas o menos el taller que me dijiste [Zero] y ahora mas o menos por arriba comprendo como funcionaria lo de "curar" o "desinfectar" en los avs que siempre me causo risa y ahora entiendo que algunas veces si se puede "curar".
Gracias!
edit: Akangel, pero ya es algo viejo hacer eso entonces? cualquier antivirus lo detectaria segun [Zero] o se puede hacer algo para modificar eso sin que el antivirus sospeche?
|
|
|
|
|
En línea
|
|
|
|
Germaniac
Desconectado
Mensajes: 13
|
Lo que comenta Elemental Code sobre Virut, lo conozco porque me llegue a infectar con el y fue una tremenda molestia, Virut infecta tanto a ejecutables como a archivos html ademas de ser polimórfico, es interesante ver las técnicas que utiliza para infectar a los ejecutables y pasar inadvertido ante los antivirus. Los chicos de Kaspersky han hecho un análisis muy bueno sobre este virus: http://www.viruslist.com/sp/analysis?discuss=207271079&return=1Saludos. |
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
como infectar una red con mi troyano
Programación Visual Basic
|
HALC12
|
6
|
6,399
|
14 Julio 2007, 18:04 pm
por Mad Antrax
|
|
|
|
Como infectar pc con Spy-net
Hacking Wireless
|
jejeey3477
|
0
|
3,174
|
19 Abril 2011, 16:49 pm
por jejeey3477
|
|
|
|
Como puedo enviar imágenes y exes por winsock en vb6
Programación Visual Basic
|
hackertotal22
|
4
|
4,330
|
14 Mayo 2011, 08:56 am
por hackertotal22
|
|
|
|
Como infectar un ISO hoy en día? es posible??
Análisis y Diseño de Malware
|
FoxSoul
|
1
|
2,246
|
11 Febrero 2014, 13:22 pm
por .:UND3R:.
|
|
|
|
¿Como infectar una red LAN?
Dudas Generales
|
cam92
|
1
|
3,115
|
1 Noviembre 2017, 22:32 pm
por engel lex
|
 |
