Me gusta lo de los saltos condicionales!!

Thanks

Mi intención no es la indetectabilidad, es hacer y aprender, es un reto.
Por otra banda ese crypter usa inyeccion con RUNPE, como todos, eso ya lo he trabajado hace unos años y tenia un cryper FUD y con unhook de APIs, no creo que me costara adaptarlo a win7 (excepto el unhook).
A parte de que eso ya lo he trabajado la inyección es carne de cañón para las heuristicas.


Por cierto .:UND3R:. , en cuanto al comentario de las artes oscuras del reversing xD, yo solo le veo utilidades maléficas xD, crackear claves y cosas por el estilo. Bien es cierto que también puedes usarlo para modificar o adaptar programas, aunque modificar colores de menús no le veo gancho xD, será por mi edad xD.
Es un buen tema de debate!

Saludos!!

Gracias por las respuestas!

Lo de PUSHAD si que me puede venir bien, lo de volver a cifrar es innecesario, porque el antivirus solo escanea en disco, una vez descifrado en memoria no escanea la memoria. Lo que me detecta por heuristica es el apaño de un bucle cifrador con XOR y el salto a otra posición alejada de código, es sencillo y lo detectan como paquer.
Pero estoy en ello!

Buenas!

Estoy con el OllyDBG empacando a mano un server de troyano a ver si encuentro una manera de eludir los AV.

Lo que hago es cifrar el código con XORs y luego añadir un código que descifre y haga un salto al entrypoit original.

Resultado: los AV no son tontos, si quito el salto a la funcion de descifrado ya no se enteran, pero al añadir el salto para descifrar el código y otro salto al entry ponit pues  saltan.


He pensado en añadir código basura que no haga nada o incluso llamar a una función sleep, aunque no se como llamar a una función, supongo que necesitare importar links a la api y creo que se complicara mucho el trabajo.

Se que esto tiene mucho del apartado Analisis y diseño de malware, pero lo que pregunto básicamente es añadir código basura que haga perder tiempo de computo a los AV y que no lleguen tan rápido a la parte del salto para detectarlo como paquer, así que creo que es una labor más de reversing.

Felices fiestas!!

Buenas,

en mi aplicación VB.net pretendo hacer uso de un script que requiere unas librerías.
Ahora mismo tengo el script y una estructura de carpetas con las librerías necesarias.
Ahora bien me gustaría importar una carpeta con todo lo anterior citado y que cuando necesite ejecutar el script se importe de los recursos y se cree la carpeta con todo lo necesario para ejecutar el script.

Se pueden importar a los recursos carpetas enteras y luego 'pasarla a disco'?
Ya puesto a preguntar, se puede obtener un tunel a la salida del script?


Saludos!!

Buenas 

voy a implementar un simulador de robot aspirador en vb .net, entonces un shape hará de robot y necesito que deje un rastro por donde pase en señal de haber limpiado por ahí.
Sobre que objeto podría poner el shape para conseguir ese efecto? Y como conseguirlo?

Gracias.

Solucionado!

Es que tenia un fichero de configuración de donde carga las cosas y machacaba los cambios

Hola!

La verdad es que tengo un problema surrealista  . Tengo una plantilla en flash (.fla) y la intento editar.
Si muevo o elimino objetos ningún problema se mueven y se eliminan al exportar a película.

Ahora viene lo raro, si modifico el texto, en el editor flash sale el texto modificado, pero al exportarlo sale el anterior texto, no el que he puesto yo. Es la traducción de unos botones de ingles a castellano. Pues bien en el editor lo pongo en castellano y al exportar sale con el texto en ingles

Alguien sabe que hago mal o si esta bloqueado o algo?

Gracias!

Hola,

supongamos que mi web esta colgada en un hosting compartido y no quiero causar problemas a otras webs o el servidor en general.

Como puedo focalizar el escaner hacia solo mi url? Que solo escanee fallos en mi pagina web, ignorando auditorias generales a la maquina en si y al servidor como tal.

Muchas gracias!

Uffff me suena todo a nuevo, pero muchas gracias por la ayuda, a ver si entre el curro y la universiad encuentro un hueco para buscar información de todo esto
 


Supongo que te refieres a devolver un STATUS_PENDING y luego guardar en irp en una cola para tratarlo y completar o denegar. Mirare a ver como guardar el irp para luego retomarlo

Sino es mucho preguntar ya, como podría obtener el nombre del ejecutable que llama la función desde la propia función?

Así si no logro preguntarlo en tiempo real al usuario pues podria hacer una lista con los programas a los cuales quiero dar acceso y no interrumpir threads.

Muchas gracias!