elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Recomendaciones para evadir heuristica
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Recomendaciones para evadir heuristica  (Leído 10,877 veces)
mr.blood

Desconectado Desconectado

Mensajes: 150


Ver Perfil
Re: Recomendaciones para evadir heuristica
« Respuesta #10 en: 16 Abril 2013, 16:57 pm »

Creo que te interesara.

Aunque para comprenderlo tendras que conocer el formato PE, porque tendras que hacer tu propio GetProcAddress. Esto se hace leyendo de las DLL la sección de exportacion ;).

Sa1uDoS
« Última modificación: 16 Abril 2013, 16:59 pm por mr.blood » En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Recomendaciones para evadir heuristica
« Respuesta #11 en: 16 Abril 2013, 19:22 pm »

Huu buenisimo!! Gracias amigos! Tengo para seguir aprendiendo jejeje

Una consulta.. el codigo de Karc que puso el enlace mr.blood, ese code lo que hace es "cifrar" y "descifrar" la cadena, por ejemplo "MessageBoxA", no??
(Podria ser cualquier otra cadena, no?) O tiene algo que ver con los ordinales de las apis? porque intente con el programita que hizo karc tambien, el HashGenerator, pero no me reconoce los hash el asm.. o por ende,, no lo estaba implementando bien.. :/

Gracias a todos!!



EDITADO: Me faltaba esto ayer, me habia olvidado..

Citar
Si que puedes hacer LoadLibraryA("kernel32")

Bien, entiendo que se debe poder.. el problema es que al hacer esto:

invoke loadlibrary, "Kernel32" -> Me dice que no se reconoce loadlibrary, porque loadlibrary esta dentro de Kernel32, con lo que para que la reconozca tendria que declarar Kernel32 al inicio del code :/
« Última modificación: 16 Abril 2013, 19:32 pm por Vaagish » En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Recomendaciones para evadir heuristica
« Respuesta #12 en: 16 Abril 2013, 20:04 pm »

invoke loadlibrary, "Kernel32" -> Me dice que no se reconoce loadlibrary, porque loadlibrary esta dentro de Kernel32, con lo que para que la reconozca tendria que declarar Kernel32 al inicio del code :/
El nombre de la función es LoadLibraryA() o LoadLibraryW() la primera es ANSI y la segunda UNICODE. El ensamblador no sabe a dónde apuntar si le dices loadlibrary. El nombre de las funciones es sensible a mayúsculas y minúsculas.

El enlace que comparte mDrinky es una muestra de cómo obtener el puntero a la función sin usar GetProcAddress(); recorriendo manualmente la EAT de la librería. Eso sí, el código está algo limitado y no considera funciones con ordinales o forwarding.

Una función hash es aquella que obtiene un identificador único de tamaño fijo de ciertos datos. En el link de mDrinky un tamaño de 4 bytes aunque las colisiones son altas.
En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Recomendaciones para evadir heuristica
« Respuesta #13 en: 16 Abril 2013, 20:25 pm »

Hola Karc!

Gracias por tu tiempo y paciencia.. Pero sigo sin entender,, como puedo llamar a LoadLibraryA, si el ensamblador me pide que incluya a kernel32 para poder hacer un invoke a getmodulehandle, a loadlibrary, o a getprocaddress,, no se si se entiende..

O sea,, cualquier funcion que quiera utilizar para poder cargar a kernel32, esta dentro de kernel32...

Me hace acordar a la pregunta: ¿Que fue primero, el huevo o la gallina?
En línea

mr.blood

Desconectado Desconectado

Mensajes: 150


Ver Perfil
Re: Recomendaciones para evadir heuristica
« Respuesta #14 en: 16 Abril 2013, 20:50 pm »

Por eso en tu exe importas la libreria kernel32 y las funciones necesarias. Lee sobre el formato PE.

Sa1uDoS
En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Recomendaciones para evadir heuristica
« Respuesta #15 en: 16 Abril 2013, 21:07 pm »

Citar
Por eso en tu exe importas la libreria kernel32 y las funciones necesarias. Lee sobre el formato PE.

O sea que no safamos de importar a kernel32 de forma estatica, al menos una vez, al inicio del programa,, no?

Ahora leo sobre los PE,, Tnks!!
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
Re: Recomendaciones para evadir heuristica
« Respuesta #16 en: 16 Abril 2013, 21:52 pm »

pienso que tienes que compilar tu exe y con un editor PE revisar el IAT para saber la direccion de kernel32 y poderla invocar desde hay

saludos flamer y una cosa nose casi de este tema asi que puede que este equibocado
En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recomendaciones para crear dvd
Multimedia
dani99 3 2,739 Último mensaje 8 Octubre 2006, 04:11 am
por eltiwas
Recomendaciones Juegos de Rol Para PC « 1 2 »
Juegos y Consolas
vincent13m 14 12,433 Último mensaje 25 Enero 2010, 13:54 pm
por Sheu-Ron
Consejo para evadir Kaspersky? « 1 2 »
Análisis y Diseño de Malware
.:UND3R:. 10 7,152 Último mensaje 7 Abril 2014, 23:36 pm
por Vaagish
Ex NSA EI utiliza las revelaciones de Snowden para evadir la inteligencia de E..
Noticias
Mister12 0 1,448 Último mensaje 5 Septiembre 2014, 17:05 pm
por Mister12
cules son las técnicas para evadir los antivirus
Análisis y Diseño de Malware
chamo 1 7,716 Último mensaje 24 Octubre 2024, 19:55 pm
por Bad4m_cod3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines