|
Título: [MASM][SRC] ¿Puede este codigo burlar a los AV's? Publicado por: jmetin2 en 11 Julio 2013, 00:18 am Hola amigos, un dia estaba programando en ASM (aun estoy empezando), y se me ocurrio la idea de programar un downloader y dejarlo FUD, pero ahi surgio la pregunta ¿como lo ago?
Entonces pense: "¡Puedo llamar a las API's de forma dinamica!". Como saben las unicas API's que se necesitan son 2: LoadLibrary y GetProcAddress asi que escribi esto: Código: .386 ; create 32 bit code pero me di cuenta que cuando un AV analize el archivo, se dara cuenta de las cadenas ASCII y si encuentra un patrón de funciones sospechosas pues es mas que seguro que lo detectara como una amenaza. Fue ahi donde pense que si dejo la variable llena de caracteres al azar y compilo el programa, al abrirlo con un editor hexadecimal puedo ver la cadena que yo escribi, asi que puedo modificarla a placer y al ser ejecutada la variable tomara el valor que yo le asigne con el editor hexadecimal. bueno a esto me refiero: Código: .386 ; create 32 bit code Supuestamente el exe no debe de hacer nada, ya que no hay nada que importar, pero al compilar y editar el archivo con un editor hexadecimal se muestra como el exe funciona. (http://s2.subirimagenes.com/imagen/8531680imagen01.png) (http://s2.subirimagenes.com/imagen/8531689imagen02.png) (http://s2.subirimagenes.com/imagen/8531717imagen03.png) Funciono! (http://s2.subirimagenes.com/imagen/8531721imagen04.png) Ahora, si esto lo modificamos un poco y le agregamos unos XOR podriamos modificar y agregar cadenas encriptadas. bueno eso es solo mi punto de vista. Tambien cabe la posibilidad de insertar codigo (cifrado) en una variable, desencriptarlo y ejecutarlo. si a alguien le parece y quiere implementar algo, cuanta con toda mi ayuda. PD: Muy pronto lanzare un [MASM][SRC] Downloader Título: Re: [MASM][SRC] ¿Puede este codigo burlar a los AV's? Publicado por: Karcrack en 11 Julio 2013, 00:57 am Importando sólo LoadLibrary y GPA ten por seguro que más de una detección tendrás.
Suerte ;) Título: Re: [MASM][SRC] ¿Puede este codigo burlar a los AV's? Publicado por: jmetin2 en 11 Julio 2013, 01:06 am :-[ :-[ :-[ :-[
jajajaja no habia pensado en eso, bueno esque sin paginas para chekar sin que manden pruebas no me atrevo, y pues no he podido hacer un chekeo (ch4ckme murio). ¿Que solución puede tener eso? Título: Re: [MASM][SRC] ¿Puede este codigo burlar a los AV's? Publicado por: Karcrack en 11 Julio 2013, 01:17 am La forma más común es recorriendo la estructura PEB_LDR_DATA del PEB en busca de KERNEL32. Tras encontrar su base se recorre su EAT en busca de LoadLibrary() y GetProcAddress() y se llama directamente a los punteros. :rolleyes:
Hay información en el foro busca sobre shellcodes y APIs :-* Título: Re: [MASM][SRC] ¿Puede este codigo burlar a los AV's? Publicado por: The Swash en 11 Julio 2013, 01:27 am Creo que esto te puede servir:
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1030-Importando%20funciones%20a%20mano_PARTE%20II_por%20Solid.rar (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1030-Importando%20funciones%20a%20mano_PARTE%20II_por%20Solid.rar) http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1029-Importando%20funciones%20a%20mano_PARTE%20I_por%20Solid.rar (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1029-Importando%20funciones%20a%20mano_PARTE%20I_por%20Solid.rar) http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1330-IMPORTANDO%20FUNCIONES%20MANUALMENTE%20-%20The%20Swash.rar (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1330-IMPORTANDO%20FUNCIONES%20MANUALMENTE%20-%20The%20Swash.rar) Saludos. Título: Re: [MASM][SRC] ¿Puede este codigo burlar a los AV's? Publicado por: jmetin2 en 11 Julio 2013, 03:14 am Gracias amigos, compartire lo que encuentre y lo que logre hacer.
|