Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Dark4ngel en 2 Noviembre 2011, 14:02 pm



Título: recursos visual basic, """"""proceso inmortal"""""
Publicado por: Dark4ngel en 2 Noviembre 2011, 14:02 pm
hola muy buenas, mi duda era que he creado un proceso b.exe y una vez compilado lo he añadadido a recursos para que se compruben entre ellos los procesos, por si uno esta cerrado, abrirlo y asi viceversa , los .exes por separado no es detectado por ningun av, pero al momento de añadir el recurso,  y compilar lo detecta el avira.. como no.. alguna idea, de como arreglarlo, o utilizar algo diferente ???


Título: Re: recursos visual basic, """"""proceso inmortal"""""
Publicado por: x64core en 2 Noviembre 2011, 16:23 pm
cifra el exe que llevas en los recursos y agregale una funcion para decifrarlo


Título: ecursos visual basic, """"""proceso inmortal"""""
Publicado por: Dark4ngel en 2 Noviembre 2011, 21:40 pm
umm.. y como cifro el archivo .res?? eske = lo detecta si añado a recursos un .exe de un form compilado sin nada.. es muy estraño..no se como puedo cifrarlo..


Título: Re: recursos visual basic, """"""proceso inmortal"""""
Publicado por: x64core en 2 Noviembre 2011, 21:51 pm
cifra el exe hay muchos codigos de variostipos de cifrado en la red
luego lo añadis como recurso añadi la funcion de descifrado al exe que lleva el recursos
cuando el exe cargue el recursos ( EXE ) tendras que descrifrar el recurso
me parece raro que un AV te detecte el archivo de recursos si no es que lleva nada :P
seguramente el archivo qure lleva el recurso si tiene que ver en eso


Título: recursos visual basic, """"""proceso inmortal"""""
Publicado por: Dark4ngel en 2 Noviembre 2011, 22:01 pm
Código:
Report date: 2011-11-02 21:58:29 (GMT 1)
File name: proye-exe
File size: 32768 bytes
MD5 hash: 0af8039df4c091b9b90f594bb5283f0e
SHA1 hash: 9c592f276600f5e88a1f01092a5d76ab8c716441
Detection rate: 1 on 9 (11%)
Status: INFECTED
Antivirus Database Engine Result
Avast 02/11/2011 5.0
AVG 02/11/2011 10.0.0.1190
Avira AntiVir 02/11/2011 7.11.7.12 TR/Dropper.Gen
ClamAV 02/11/2011 0.97
Comodo 02/11/2011 4.0
Emsisoft 02/11/2011 5.1.0.3
F-Prot 02/11/2011 6.3.3.4884
Ikarus 02/11/2011 T31001097
TrendMicro 02/11/2011 9.200.0.1012

cree un proyecto sin nada, solo con el form, lo compile, ese mismo .exe lo añadi como recurso, lo compile y esto es lo que salio..me resulta muy estraño xD, igual me pasa con mi verdadero proyecto, ambos .exes no son detectados. pero al añadir uno de ellos al otro como recurso si, mirare eso de cifrarlo, muchas gracias!!


Título: Re: recursos visual basic, """"""proceso inmortal"""""
Publicado por: Unbr0ken en 2 Noviembre 2011, 22:43 pm
Código:
Report date: 2011-11-02 21:58:29 (GMT 1)
File name: proye-exe
File size: 32768 bytes
MD5 hash: 0af8039df4c091b9b90f594bb5283f0e
SHA1 hash: 9c592f276600f5e88a1f01092a5d76ab8c716441
Detection rate: 1 on 9 (11%)
Status: INFECTED
Antivirus Database Engine Result
Avast 02/11/2011 5.0
AVG 02/11/2011 10.0.0.1190
Avira AntiVir 02/11/2011 7.11.7.12 TR/Dropper.Gen
ClamAV 02/11/2011 0.97
Comodo 02/11/2011 4.0
Emsisoft 02/11/2011 5.1.0.3
F-Prot 02/11/2011 6.3.3.4884
Ikarus 02/11/2011 T31001097
TrendMicro 02/11/2011 9.200.0.1012

cree un proyecto sin nada, solo con el form, lo compile, ese mismo .exe lo añadi como recurso, lo compile y esto es lo que salio..me resulta muy estraño xD, igual me pasa con mi verdadero proyecto, ambos .exes no son detectados. pero al añadir uno de ellos al otro como recurso si, mirare eso de cifrarlo, muchas gracias!!

...


Intenta empaquetar el ejecutable final... usa UPX o que se yo... lo que más te apetezca.


Título: Re: recursos visual basic, """"""proceso inmortal"""""
Publicado por: CAR3S? en 3 Noviembre 2011, 00:47 am
el avira es muy loco, siempre me detecto los proyectos con archivos de recursos  :xD


Título: recursos visual basic, """"""proceso inmortal"""""
Publicado por: Dark4ngel en 3 Noviembre 2011, 10:42 am
si.. pero muy loco xd. tonces la idea es una vez compilado el .exe (con el .exe añadido a recursos), la solucion seria. crear un cripter y cifrar los datos binarios de ese exe no? aver k tal funciona..