elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


  Mostrar Temas
Páginas: [1]
1  Seguridad Informática / Análisis y Diseño de Malware / [MASM][SRC] ¿Puede este codigo burlar a los AV's? en: 11 Julio 2013, 00:18 am
Hola amigos, un dia estaba programando en ASM (aun estoy empezando), y se me ocurrio la idea de programar un downloader y dejarlo FUD, pero ahi surgio la pregunta ¿como lo ago?

Entonces pense: "¡Puedo llamar a las API's de forma dinamica!". Como saben las unicas API's que se necesitan son 2: LoadLibrary y GetProcAddress asi que escribi esto:

Código:
.386                 ; create 32 bit code
.model flat, stdcall

;;;;; Importar Kernel32 y sus funciones

include     \masm32\include\kernel32.inc
includelib  \masm32\lib\kernel32.lib

.data

USER32  db  "User32",0
Message db  "MessageBoxA",0

.code
   start:
     PUSH offset USER32
     CALL LoadLibrary
     PUSH offset Message
     PUSH EAX
     CALL GetProcAddress

     PUSH 0
     PUSH offset USER32    ;Titulo del mensaje
     PUSH offset USER32    ;Texto del mensaje
     PUSH 0
     CALL EAX
   end start

pero me di cuenta que cuando un AV analize el archivo, se dara cuenta de las cadenas ASCII y si encuentra un patrón de funciones sospechosas pues es mas que seguro que lo detectara como una amenaza.
Fue ahi donde pense que si dejo la variable llena de caracteres al azar y compilo el programa, al abrirlo con un editor hexadecimal puedo ver la cadena que yo escribi, asi que puedo modificarla a placer y al ser ejecutada la variable tomara el valor que yo le asigne con el editor hexadecimal.

bueno a esto me refiero:

Código:
.386                 ; create 32 bit code
.model flat, stdcall

;;;;; Importar Kernel32 y sus funciones

include     \masm32\include\kernel32.inc
includelib  \masm32\lib\kernel32.lib

.data

USER32  db  "666666",0
Message db  "11111111111",0

.code
   start:
     PUSH offset USER32
     CALL LoadLibrary
     PUSH offset Message
     PUSH EAX
     CALL GetProcAddress

     PUSH 0
     PUSH offset USER32    ;Titulo del mensaje
     PUSH offset USER32    ;Texto del mensaje
     PUSH 0
     CALL EAX
   end start

Supuestamente el exe no debe de hacer nada, ya que no hay nada que importar, pero al compilar y editar el archivo con un editor hexadecimal se muestra como el exe funciona.







Funciono!



Ahora, si esto lo modificamos un poco y le agregamos unos XOR podriamos modificar y agregar cadenas encriptadas. bueno eso es solo mi punto de vista.

Tambien cabe la posibilidad de insertar codigo (cifrado) en una variable, desencriptarlo y ejecutarlo.

si a alguien le parece y quiere implementar algo, cuanta con toda mi ayuda.

PD: Muy pronto lanzare un [MASM][SRC] Downloader
2  Programación / Scripting / Crackme en batch en: 10 Junio 2011, 02:58 am
Espero que lo puedan resolver y no usen las "Batch Injection". Suerte

Código
  1. @echo off
  2. setlocal ENABLEDELAYEDEXPANSION
  3. Title Ofuscacion 1KETI
  4. :menu
  6. set/p "str=Ingresa la clave correcta: "
  7. set "pim=%str:~0,1%"
  8. set "ele=9"
  9. cls
  10. set "e=%str:0=37%"
  11. set "e=%e:a=10%"
  12. set "e=%e:b=11%"
  13. set "e=%e:c=12%"
  14. set "e=%e:d=13%"
  15. set "e=%e:e=14%"
  16. set "e=%e:f=15%"
  17. set "e=%e:g=16%"
  18. set "e=%e:h=17%"
  19. set "e=%e:i=18%"
  20. set "e=%e:j=19%"
  21. set "e=%e:k=20%"
  22. set "e=%e:l=21%"
  23. set "e=%e:m=22%"
  24. set "e=%e:n=23%"
  25. set "e=%e:ñ=24%"
  26. set "e=%e:o=25%"
  27. set "e=%e:p=26%"
  28. set "e=%e:q=27%"
  29. set "e=%e:r=28%"
  30. set "e=%e:s=29%"
  31. set "e=%e:t=30%"
  32. set "e=%e:u=31%"
  33. set "e=%e:v=32%"
  34. set "e=%e:w=33%"
  35. set "e=%e:x=34%"
  36. set "e=%e:y=35%"
  37. set "e=%e:z=36%"
  38. set "e=%e: =40%"
  39. set "e=%e:.=41%"
  40. call:cont %e%
  41. call:scd %e%
  42. set "f=%pim:0=37%"
  43. set "f=%f:a=10%"
  44. set "f=%f:b=11%"
  45. set "f=%f:c=12%"
  46. set "f=%f:d=13%"
  47. set "f=%f:e=14%"
  48. set "f=%f:f=15%"
  49. set "f=%f:g=16%"
  50. set "f=%f:h=17%"
  51. set "f=%f:i=18%"
  52. set "f=%f:j=19%"
  53. set "f=%f:k=20%"
  54. set "f=%f:l=21%"
  55. set "f=%f:m=22%"
  56. set "f=%f:n=23%"
  57. set "f=%f:ñ=24%"
  58. set "f=%f:o=25%"
  59. set "f=%f:p=26%"
  60. set "f=%f:q=27%"
  61. set "f=%f:r=28%"
  62. set "f=%f:s=29%"
  63. set "f=%f:t=30%"
  64. set "f=%f:u=31%"
  65. set "f=%f:v=32%"
  66. set "f=%f:w=33%"
  67. set "f=%f:x=34%"
  68. set "f=%f:y=35%"
  69. set "f=%f:z=36%"
  70. set "f=%f: =40%"
  71. set "f=%f:.=41%"
  72. set/a e=%e% * (%f% + %e:~-1%)
  73. call:reverse %e%
  74. call:mot %e%
  75. set "e=%e:a=10%"
  76. set "e=%e:b=11%"
  77. set "e=%e:c=12%"
  78. set "e=%e:d=13%"
  79. set "e=%e:e=14%"
  80. set "e=%e:f=15%"
  81. set "e=%e:g=16%"
  82. set "e=%e:h=17%"
  83. set "e=%e:i=18%"
  84. set "e=%e:j=19%"
  85. set "e=%e:k=20%"
  86. set "e=%e:l=21%"
  87. set "e=%e:m=22%"
  88. set "e=%e:n=23%"
  89. set "e=%e:o=24%"
  90. set "e=%e:p=25%"
  91. set "e=%e:q=26%"
  92. set "e=%e:r=27%"
  93. set "e=%e:s=28%"
  94. set "e=%e:t=29%"
  95. set "e=%e:u=30%"
  96. set "e=%e:v=31%"
  97. set "e=%e:w=32%"
  98. set "e=%e:x=33%"
  99. set "e=%e:y=34%"
  100. set "e=%e:z=35%"
  101. set "e=%e:0=01%"
  102. set "e=%e:1=10%"
  103. set "e=%e:2=100%"
  104. set "e=%e:3=101%"
  105. set "e=%e:4=110%"
  106. set "e=%e:5=111%"
  107. set "e=%e:6=1000%"
  108. set "e=%e:7=1001%"
  109. set "e=%e:8=1010%"
  110. set "e=%e:9=1011%"
  111. set "e=%e:01=a%"
  112. set "e=%e:10=b%"
  113. set "e=%e:11=c%"
  114. set "e=%e:00=d%"
  115. set "e=%e:1=u%"
  116. set "e=%e:0=v%"
  117. set "e=%e:aa=e%"
  118. set "e=%e:ab=f%"
  119. set "e=%e:ac=g%"
  120. set "e=%e:ad=h%"
  121. set "e=%e:ba=i%"
  122. set "e=%e:bb=j%"
  123. set "e=%e:bc=k%"
  124. set "e=%e:bd=l%"
  125. set "e=%e:ca=m%"
  126. set "e=%e:cb=n%"
  127. set "e=%e:cc=o%"
  128. set "e=%e:cd=p%"
  129. set "e=%e:da=q%"
  130. set "e=%e:db=r%"
  131. set "e=%e:dc=s%"
  132. set "e=%e:dd=t%"
  133. set "e=%e:a=10%"
  134. set "e=%e:b=11%"
  135. set "e=%e:c=12%"
  136. set "e=%e:d=13%"
  137. set "e=%e:e=14%"
  138. set "e=%e:f=15%"
  139. set "e=%e:g=16%"
  140. set "e=%e:h=17%"
  141. set "e=%e:i=18%"
  142. set "e=%e:j=19%"
  143. set "e=%e:k=20%"
  144. set "e=%e:l=21%"
  145. set "e=%e:m=22%"
  146. set "e=%e:n=23%"
  147. set "e=%e:o=24%"
  148. set "e=%e:p=25%"
  149. set "e=%e:q=26%"
  150. set "e=%e:r=27%"
  151. set "e=%e:s=28%"
  152. set "e=%e:t=29%"
  153. set "e=%e:u=30%"
  154. set "e=%e:v=31%"
  155. call:reverse %e%
  156. set "e=%e:1=11%"
  157. set "e=%e:2=12%"
  158. set "e=%e:3=13%"
  159. set "e=%e:4=21%"
  160. set "e=%e:5=22%"
  161. set "e=%e:6=23%"
  162. set "e=%e:7=31%"
  163. set "e=%e:8=32%"
  164. set "e=%e:9=33%"
  165. set "e=%e:11=A%"
  166. set "e=%e:12=B%"
  167. set "e=%e:13=C%"
  168. set "e=%e:21=D%"
  169. set "e=%e:22=E%"
  170. set "e=%e:23=F%"
  171. set "e=%e:31=G%"
  172. set "e=%e:32=H%"
  173. set "e=%e:33=I%"
  174. set "e=%e:0=J%"
  175. call:reverse %e%
  176. set "ran=%random:~0,1%%random:~0,1%%random:~0,1%%random:~0,1%%random:~0,1%"
  177. call:reverse %e%!ran!
  178. call:revclav 3AAJCCJAFA2AA!ran!
  179. if ["!e!"]==["!clave!"] (Echo Correcto&pause&exit) else (echo Incorrecto&pause&exit)
  180.  
  181. :cont
  182. set arg=%*
  183. if not defined arg (goto :eof)
  184. set word=%arg%
  185. set/a cont=0
  186. :loop
  187. if not defined word (goto end)
  188. set word=%word:~1%
  189. set/a cont+=1
  190. goto loop
  191. :end
  192. set cods=%cont%
  193. goto:EoF
  194.  
  195. :revclav
  196. set "clave=%*"
  197. set "posad=%ele%"
  198. :crptnn
  199. if ["%posad%"]==["0"] (goto:eof)
  200. set clave=%clave:~1,-1%%clave:~0,1%%clave:~-1%
  201. set/a posad-=1
  202. goto crptnn
  203. goto:Eof
  204.  
  205. :scd
  206. set var=%*
  207. set/a num=%cods% - 1
  208. for /l %%a in (%num%,-1,0) do (
  209. call set/a a+=%var:~0,1% * !var:~%% style="color: #448888;">a,1!
  210. )
  211. set e=%a%
  212. goto:Eof
  213.  
  214. :reverse
  215. set "e=%*"
  216. set "pasad=%ele%"
  217. :crptn
  218. if ["%pasad%"]==["0"] (goto:eof)
  219. set e=%e:~1,-1%%e:~0,1%%e:~-1%
  220. set/a pasad-=1
  221. goto crptn
  222. goto:Eof
  223.  
  224. :mot
  225. set "numero=%*"
  226. set hex=36
  227. :bucle
  228. set /a resto=%numero%%%hex%
  229. if %resto%==10 (set resto=A)
  230. if %resto%==11 (set resto=B)
  231. if %resto%==12 (set resto=C)
  232. if %resto%==13 (set resto=D)
  233. if %resto%==14 (set resto=E)
  234. if %resto%==15 (set resto=F)
  235. if %resto%==16 (set resto=G)
  236. if %resto%==17 (set resto=H)
  237. if %resto%==18 (set resto=I)
  238. if %resto%==19 (set resto=J)
  239. if %resto%==20 (set resto=K)
  240. if %resto%==21 (set resto=L)
  241. if %resto%==22 (set resto=M)
  242. if %resto%==23 (set resto=N)
  243. if %resto%==24 (set resto=O)
  244. if %resto%==25 (set resto=P)
  245. if %resto%==26 (set resto=Q)
  246. if %resto%==27 (set resto=R)
  247. if %resto%==28 (set resto=S)
  248. if %resto%==29 (set resto=T)
  249. if %resto%==30 (set resto=U)
  250. if %resto%==31 (set resto=V)
  251. if %resto%==32 (set resto=W)
  252. if %resto%==33 (set resto=X)
  253. if %resto%==34 (set resto=Y)
  254. if %resto%==35 (set resto=Z)
  255. set /a numero=numero/%hex%
  256. set resultado=%resto%%resultado%
  257. if %numero% GTR 0 (goto bucle)
  258. set "e=%resultado%"
  259. goto:eof
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines