elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Impedir detectar cambios en formato PE
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Impedir detectar cambios en formato PE  (Leído 3,534 veces)
compendium

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Impedir detectar cambios en formato PE
« en: 22 Febrero 2016, 11:58 am »

Hola a todos. Es la primera vez que escribo, aunque llevo meses siguiendo tutoriales y ya he hecho algunas pruebas con resultados satisfactorios  :rolleyes:

He estado trasteando con ejecutables, añadiendo texto simple, comprobando si funcionan, etc. (por ahora con programas sencillos como el bloc de notas, etc.).

Pero después de varias pruebas, me surge una duda que creo que es importante... ¿Esos cambios que hacemos en un .exe... no se supone que modifican la fecha de del ejecutable, el tamaño del mismo, y otros valores?

Sé que hay métodos para modificar a nuestro gusto la fecha de creación/modificación de un .exe, e incluso cambiarle el tamaño añadiendo bytes "00", pero... ¿con eso basta? ¿Y las demás variables (SizeOfCode, SizeOfImage, NumberOfSections, etc...)? ¿Los antivirus, o los sistemas anticopia, etc. leen esa información, o es que eso nunca cambia aunque trasteemos libremente en el .exe?

Espero haberme explicado y perdón si la pregunta es muy obvia.

Saludos
En línea

fary
Moderador
***
Conectado Conectado

Mensajes: 1.084



Ver Perfil WWW
Re: Impedir detectar cambios en formato PE
« Respuesta #1 en: 22 Febrero 2016, 14:18 pm »

Si tu añadies bytes a un archivo y no modificas ciertos valores del PE esos bytes nunca se cargarán en memoria, bueno dependiendo del tamaño qie añadas.

Si no modificas el valor de la fecha no cambiará.

Los AV detectan por ejemplo si el archivo tiene más cantidad de bytes del que indica el PE.

Tienes un post puesto como chincheta en el que hay varios artículos sobre el formato PE.

Saludos
En línea

Un byte a la izquierda.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Detectar cambios en el sistema con Regshot
Seguridad
madpitbull_99 4 10,406 Último mensaje 22 Enero 2011, 15:04 pm
por Garfield07
Cambios propuestos en el firmware de los PCs podrían impedir el uso de Linux
Noticias
wolfbcn 6 3,443 Último mensaje 23 Septiembre 2011, 00:38 am
por ion dissonance2
Detectar cambios mysql con php socket
PHP
70N1 6 8,255 Último mensaje 9 Mayo 2014, 12:33 pm
por 70N1
¿Cómo detectar cambios en .text? « 1 2 »
Programación C/C++
Shout 11 6,452 Último mensaje 1 Octubre 2014, 22:38 pm
por Eternal Idol
Detectar cambios precisos realizados en 1 registro por medio de un trigger
Bases de Datos
OssoH 3 2,696 Último mensaje 16 Junio 2018, 00:37 am
por Hadess_inf
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines