 Autor
|
Tema: Mostrar librerias cargadas en programa (Leído 23,463 veces)
|
Vaagish
 Desconectado
Mensajes: 875
|
Si, eso esta mas enfocado para las shellcode´s, ya que asi se "juega" mas con otros opcodes y no salta a la vista tan rapido, de poder puedes usar hasta la FPU.
Pero simplemente comente, porque no tiene ningun sentido hacer todo lo que te indique antes, es hasta estupido, sin ofender.
Un saludo.
P.D: Segun estoy viendo, estas enserio con el malware. No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM  Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje Tengo la ilusion de algun dia hacer un malware que se destaque..  Saludosss!!
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje Tengo la ilusion de algun dia hacer un malware que se destaque.. Saludosss!! Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel. Los Antivirus no funcionan de igual manera como Sandboxie por ejemplo, que simplemente se puede detectar si se esta dentro de la 'sandbox' con la detección de un posible modulo cargado. En los Antivirus que implementan una sandbox o más bien una VM el código es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria sólo cargado en la emulación, nota la diferencia entre los modulos que se podrian cargan en la emulacion y otros posibles modulos para otros propositos, se tendria que depurar como dije. Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien faciles de saltarse. En Kaspersky se implementa una VM y emula el código dentro antes de ejecutarlo en el verdadero entorno, esta en klif.sys. Claro que esta tecnologia se sus ventajas y desventajas.
|
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no? De echo, noto la carga de un modulo cuando lo emula el sandbox, tendría que estar seguro para confirmar que sea por el sandbox, no he tenido tiempo aun.. pero si llega a ser eso pongo el modulo.. Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel. No lo dudo.. técnicas avanzadas requieren métodos complejos  , tendría que aprender a usar windbg.. Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse. De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo? Saludos!!
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?
Correcto. De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?
Saludos!!
Cuando me refiero a saltarse la emulación es evitar que se continue analizando el código en busca de malware y me refiero a 'saltarse' porque algunos antivirus simplemente tiene un emulador de código como su super protección. Qué discusión?
|
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Qué discusión? Acá mira.. se armo un relajo bárbaro haha Saludos!
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Acá mira.. se armo un relajo bárbaro haha
Saludos!
Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también. Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.
|
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad. Jajaja si,, no hay un punto definitivo.. yo también creo que se podría encontrar un bug,, pero hay que romperse el c.. raneo, y encontrarlo.. uff.. se podría aprovechar muy bien.. 
|
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM) include 'win32ax.inc' ; MACROS macro hash name,[string]{ local ..hash, ..len, ..chr virtual at 0 db string ..len = $ ..hash = 0 repeat ..len load ..chr byte from % - 1 ..hash = ..hash + ..chr ..hash = ..hash xor (((..chr shl 7) and $FFFFFFFF) or (..chr shr (25))) end repeat end virtual name#.h = ..hash } struc dw [arr]{ common . dw arr .c = ($ - .) / 2 } ; GLOBAL hash sandboxie, 'sbiedll.dll' hash avast32, 'snxhk.dll' hash avast64, 'snxhk64.dll' hash comodo32, 'guard32.dll' hash comodo64, 'guard64.dll' ; CODE blacklist_loaded: call push_hashArr hashArr dw sandboxie.h, avast32.h, avast64.h, comodo32.h, comodo64.h push_hashArr: push $30 pop esi lods dword[fs:esi] mov edx, [eax+$0C] mov edx, [edx+$1C] xor eax, eax nm:xor ebx, ebx mov esi, dword[edx+$20] test esi, esi mov edx, [edx] jz en re:lodsw test eax, eax jz fn or eax, 0x20 add ebx, eax rol eax, 7 xor ebx, eax jmp re fn:push hashArr.c pop ecx mov esi, [esp] nx:lodsw cmp eax, ebx loopne nx jecxz nm en:mov eax, ecx pop edi ret main: call blacklist_loaded .end main
( POST ORIGINAL) Un poco caótico, lo hice en el metro de camino a casa  Si necesitas algún comentario dímelo 
@x64Core: Yo voto por mí  ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP
@cpu2: Si lo hacía con lodsd doy por hecho que es para ahorra unos cuantos bytes...
|
|
|
|
« Última modificación: 24 Abril 2014, 23:21 pm por Karcrack »
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Me había matado escribiendo para que se cerrara la session..  @Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM) Excelente! Eso es lo que quiero implementar,, lo voy a intentar en masm, que es en el que yo aprendo,, así practico Un poco caótico, lo hice en el metro de camino a casa Si necesitas algún comentario dímelo La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso hash sandboxie, 'sbiedll.dll' hash avast32, 'snxhk.dll' hash avast64, 'snxhk64.dll' hash comodo32, 'guard32.dll' hash comodo64, 'guard64.dll'
Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas.. que de echo: Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..
Yo voto por mí ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje |
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje
Realmente no valen millones  . Buster_BSA se inventó la cifra  La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas. Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..
Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección ) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO. Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas..
Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. ( Artículo al respecto) Saludos!
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Crear un Programa que Registre Librerias
Programación Visual Basic
|
nahueld
|
4
|
2,728
|
5 Mayo 2008, 15:35 pm
por nahueld
|
|
|
|
imagenes en html cargadas en php
PHP
|
Chazy Chaz
|
2
|
2,586
|
30 Mayo 2012, 03:38 am
por Chazy Chaz
|
|
|
|
ayuda con DLL cargadas a memoria
.NET (C#, VB.NET, ASP)
|
spiritdead
|
4
|
3,500
|
7 Diciembre 2012, 18:07 pm
por spiritdead
|
|
|
|
como agregar librerias a un programa .exe creado con c
Programación General
|
Drewermerc
|
1
|
1,940
|
21 Abril 2014, 11:57 am
por eferion
|
|
|
|
Corta Introducción a SVG. Mostrar Figuras en HTML sin librerías y CiberSeguridad
Desarrollo Web
|
@XSStringManolo
|
0
|
1,488
|
21 Agosto 2019, 01:11 am
por @XSStringManolo
|
 |
