elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Testeo Deteccion downloader
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Testeo Deteccion downloader  (Leído 1,504 veces)
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Testeo Deteccion downloader
« en: 30 Abril 2010, 20:26 »

he escrito un pequeño downloader para hacer pruebas de deteccion. solo baja una imagen ""c:\UNA-PRUEBA.jpg", lo gracioso es que ninguno de los antivirus mas populares a detectado nada, si alguno le puede pasar su anti virus para ver si detecta algo pues mejor :). Solo estoy probando ofuscacion de codigo, para que sea mas costoso depurar un malware, tengo que mejorarlo completamente.

http://www.virustotal.com/es/analisis/901413450f9d43adafdaa04a99822207507253895b82bab93ee54ea5a0dfb54b-1272650383

y el downloader para si alguno le quiere pasar su av o analizarlo.

http://www.sendspace.com/file/m40l5z
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: Testeo Deteccion downloader
« Respuesta #1 en: 30 Abril 2010, 21:12 »

Código:
> kernel32.dll: ExitProcess, GetProcAddress, LoadLibraryA
> user32.dll: MessageBoxA

Supongo que sacas el puntero de URLDownloadToFileA/W, si encriptas bien las cadenas ya te quitas seguramente a todos :P
En línea

bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Testeo Deteccion downloader
« Respuesta #2 en: 30 Abril 2010, 21:18 »

si :), pero uso el ordinal asi me quito directamente la cadena "URLDownloadToFileA" del ejecutable, con la cadena si aparecen resultados de downloader. estos 4 creo que saltan pq creen que esta empaquetado.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: Testeo Deteccion downloader
« Respuesta #3 en: 30 Abril 2010, 21:26 »

si :), pero uso el ordinal asi me quito directamente la cadena "URLDownloadToFileA" del ejecutable, con la cadena si aparecen resultados de downloader. estos 4 creo que saltan pq creen que esta empaquetado.
Usar el ordinal no es buena idea, no ha de ser el mismo en todos los W$ :-\

Yo te recomiendo sacarlo por HASH, como hacen los Shellcodes ;)
En línea

bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Testeo Deteccion downloader
« Respuesta #4 en: 30 Abril 2010, 21:30 »

Na es para las pruebas, en un futuro se van a cifrar tanto codigo como cadenas. la idea principal es interpretar los opcodes y ejecutarlos desde otro lugar solo con esta interpretacion, sin necesidad de el codigo real. pero para esto aun queda un buen rato ;).
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Placa de testeo de red
Electrónica
electrodev 0 938 Último mensaje 2 Marzo 2011, 20:24
por electrodev
Testeo de board
Hardware
Shell Root 0 538 Último mensaje 26 Marzo 2014, 15:44
por Shell Root
Testeo troyanos
Análisis y Diseño de Malware
TheH4ck 4 1,607 Último mensaje 7 Octubre 2014, 20:18
por WIитX
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines