 Autor
|
Tema: [Taller] Así funcionan los crypters: cifrando malware a mano (Leído 71,578 veces)
|
froylan
 Desconectado
Mensajes: 1
|
Estupendo aporte, espero impaciente tu 2ª parte. Entonces con con un simple xor y un rc4 aplicado a toda la sección y cifrando todos los strings de la IAT se quedaria totalmente FUD el server?
|
|
|
|
|
En línea
|
|
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  . |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas . Añadiendo un TLS Callback puedes cifrar TODO el ejecutable (Excepto la cabecera PE  ) sin preocuparte de nada, ni cambio de EP ni leches  El problema estaria en los ejecutables de Delphi... que tendrias que cambiar mas cosas
|
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Aún no hice funcionar nada con el TLS  . En navidades tendré más tiempo y veré si puedo hacer algo, mientras tanto si alguien tiene curiosidad y lo quiere intentar: http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653 ] El Virus Metamorph inserta automaticamente TLS Callback's[/PUBLI]Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
El IAT ? y donde te metes el loader de windows ? Usando un TLS callback no hay problema Se carga antes que el Loader de W$ 
|
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas . El IAT ? y donde te metes el loader de windows ? Puedes hacer un Loader en ASM que cargue la IAT como lo hace el de windows, en ASM son un puñado de bytes. Para que veas un ejemplo el packer armadillo creo que hacía algo parecido para dificultar que se debugee . Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Cifrando y Descifrando C#
.NET (C#, VB.NET, ASP)
|
junxcosio
|
6
|
16,198
|
15 Enero 2010, 10:41 am
por junxcosio
|
|
|
|
los downloaders para malware aun funcionan? y que necesito saber?
Análisis y Diseño de Malware
|
Belial & Grimoire
|
1
|
3,465
|
18 Septiembre 2010, 19:42 pm
por Jaixon Jax
|
|
|
|
Problemita con Taller de detección y eliminación de malware.
Seguridad
|
Verenguela
|
7
|
5,837
|
18 Mayo 2011, 00:49 am
por Verenguela
|
|
|
Archivo de la practica del taller de malware
Seguridad
|
skapunky
|
2
|
4,681
|
2 Febrero 2012, 13:36 pm
por skapunky
|
|
|
|
Duda de como funcionan los crypters y antivirus?
Análisis y Diseño de Malware
|
ahaugas
|
4
|
4,449
|
9 Mayo 2012, 16:58 pm
por ahaugas
|
 |
![WWW](data:text/html,<img src="http://img199.imageshack.us/img199/7002/norris.gif" />;http://)
