Yo es principalmente en las shellcodes cuando doy más importancia al tamaño del payload que a los ciclos... Además no debe tener bytes nulos. (Al menos con la definición estricta que yo conozco de shellcode, es decir, no posicional y null-free)

Realmente no valen millones . Buster_BSA se inventó la cifra

Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas.

Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección ) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO.

Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. (Artículo al respecto)

Saludos!

@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)

include 'win32ax.inc'
 
; MACROS
 
macro hash name,[string]{
   local ..hash, ..len, ..chr
   virtual at 0
      db string
      ..len  = $
      ..hash = 0
      repeat ..len
         load ..chr byte from % - 1
         ..hash = ..hash + ..chr
         ..hash = ..hash xor (((..chr shl 7) and $FFFFFFFF) or (..chr shr (25)))
      end repeat
   end virtual
   name#.h = ..hash
}
struc dw [arr]{
   common
      . dw arr
      .c = ($ - .) / 2
}
 
; GLOBAL
 
hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'
 
; CODE
 
blacklist_loaded:
   call push_hashArr
   hashArr dw sandboxie.h, avast32.h, avast64.h, comodo32.h, comodo64.h
 
push_hashArr:
   push $30
   pop  esi
   lods dword[fs:esi]
   mov  edx, [eax+$0C]
   mov  edx, [edx+$1C]
   xor  eax, eax
nm:xor  ebx, ebx
   mov  esi, dword[edx+$20]
   test esi, esi
   mov  edx, [edx]
 jz     en
re:lodsw
   test eax, eax
 jz     fn
   or   eax, 0x20
   add  ebx, eax
   rol  eax, 7
   xor  ebx, eax
 jmp    re
fn:push hashArr.c
   pop  ecx
   mov  esi, [esp]
nx:lodsw
   cmp  eax, ebx
 loopne nx
 jecxz  nm
en:mov  eax, ecx
   pop  edi
   ret
 
main:
   call blacklist_loaded
.end main 

(POST ORIGINAL)
Un poco caótico, lo hice en el metro de camino a casa Si necesitas algún comentario dímelo

---

@x64Core: Yo voto por mí ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP

---

@cpu2: Si lo hacía con lodsd doy por hecho que es para ahorra unos cuantos bytes...

Dejando de lado los aspectos técnicos para complicar la tarea (P2P, cifrado asimétrico para C&C, tor...) creo que hay un aspecto importantísimo: No hablar nunca de ello. A nadie.
Si no quieres que algo se sepa no lo hagas. Si ya lo has hecho; no lo cuentes.

En el caso particular de una botnet el punto débil es el C&C, si tu botnet está bien diseñada tendrás una forma de enviar los comandos no centralizada. Si no tienes esa suerte siempre debes enviar los comandos desde una conexión que no sea la tuya. Ya sea usando tor+relay VPS, VPN o WiFi del McDonalds xD

Más importante que no hablar de ello es separar identidades. No debes utilizar la misma conexión|ordenador|S.O|... para asuntos ilícitos que para mirar el Facebook.

Si quieres más datos técnicos como nombres de herramientas, protocolos y tal puedo extenderme con el asunto.

Saludos!

De nada, siento no haberlo hecho por privado

http://filippo.io/Heartbleed/#foro.elhacker.net

 

SysAllocString() es para obtener una copia. Si sólo quieres mostrarla en un MsgBox puedes pasarle el puntero a MessageBoxA() como haces tú. Aunque si quieres leer el valor será para otra cosa

'OLEAUT32
Private Declare Function SysAllocString Lib "OLEAUT32" (ByVal pOlechar As Long) As String
'KERNEL32
Private Declare Function GetModuleHandleA Lib "KERNEL32" (ByVal ModuleName As String) As Long
 
Public Static Function WhereAmI() As String
    WhereAmI = SysAllocString(GetModuleHandleA("MSVBVM60") + &H10C528)
End Function

MsgBox WhereAmI()