Mostrar librerias cargadas en programa

Páginas: << < (3/10) > >>

Vaagish:

Citar
--
Si, eso esta mas enfocado para las shellcode´s, ya que asi se "juega" mas con otros opcodes y no salta a la vista tan rapido, de poder puedes usar hasta la FPU.

Pero simplemente comente, porque no tiene ningun sentido hacer todo lo que te indique antes, es hasta estupido, sin ofender.

Un saludo.

P.D: Segun estoy viendo, estas enserio con el malware.
--

No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM  ;)

Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje
Tengo la ilusion de algun dia hacer un malware que se destaque..  :-X

Saludosss!!

x64core:

Cita de: Vaagish en 24 Abril 2014, 19:35 pm
--
No hay ofensa ninguna,, tranqui.. lo que estoy intentando hacer es detectar si el programa esta en la sandbox,, y que AV lo esta analizando.. hay otras formas si, pero por ahora son solo pruebas,, y de paso practico un poco ASM  ;)

Con respecto al malware,, si, casi todo lo que hago esta orientado a eso.. aunque después no lo use para nada.. es la guerra constante que tengo con los AV jeje
Tengo la ilusion de algun dia hacer un malware que se destaque..  :-X

Saludosss!!

--
Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.
Los Antivirus no funcionan de igual manera como Sandboxie por ejemplo, que simplemente se puede detectar si se esta dentro de la
'sandbox'  con la detección de un posible modulo cargado. En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación, nota la diferencia entre los modulos que se podrian cargan en la emulacion y otros posibles modulos para
otros propositos, se tendria que depurar como dije. Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.

En Kaspersky se implementa una VM y emula el código dentro antes de ejecutarlo en el verdadero entorno, esta en klif.sys. Claro que
esta tecnologia se sus ventajas y desventajas.

Vaagish:

Citar
--
En los Antivirus que implementan una sandbox o más bien una VM el código
es emulado y si llegasen a cargan algún modulo dentro de el espacio de memoria del proceso este no seria visible en la lista ya que seria
sólo cargado en la emulación
--

Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?
De echo, noto la carga de un modulo cuando lo emula el sandbox, tendría que estar seguro para confirmar que sea por el sandbox, no he tenido tiempo aun.. pero si llega a ser eso pongo el modulo..

Citar
--
Tendras que depurar el nucleo del Antivirus que por lo general en un driver para kernel.
--

No lo dudo.. técnicas avanzadas requieren métodos complejos  :D, tendría que aprender a usar windbg..

Citar
--
Otros simplemente emulan el código y el entorno emulado es bien limitado y son bien
faciles de saltarse.
--

De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?

Saludos!!

x64core:

Cita de: Vaagish en 24 Abril 2014, 20:39 pm
--
Pero que sea cargado solo en la emulación dice bastante! Dice todo lo que necesito saber para ser mas exacto,, si ese modulo esta cargado,, esta en sandbox y cierro la app.. no?

--
Correcto.

Cita de: Vaagish en 24 Abril 2014, 20:39 pm
--
De saltarse en que sentido? Creo que hay una discusión importante por ahi en el foro sobre "saltarse" el sandbox,, creo que hasta donde se puede llegar es, detectar el sandbox y cerrarse.. o hay algo que me estoy perdiendo?

Saludos!!

--
Cuando me refiero a saltarse la emulación es evitar que se continue analizando el código en busca de malware y me refiero
a 'saltarse' porque algunos antivirus simplemente tiene un emulador de código como su super protección.
Qué discusión?

Vaagish:

Citar
--
Qué discusión?
--

Acá mira.. se armo un relajo bárbaro haha

Citar
--
http://foro.elhacker.net/buscador2-t378027.0.html;msg1807944#msg1807944
--

Saludos!

Páginas: << < (3/10) > >>