Me parece que esta paranoica.. hace un dump total del pc y ponelo acá en el foro por favor!!!

Por lo que has dicho, el backdoor/virus/downloader o lo que sea tiene que estar en el MBR o en la BIOS..
Si tu computadora hubiera quedado limpia después de la formateada y por las precauciones que decís tomar, es imposible (diría yo) que te estén infectando una y otra vez..

Quizás algún user te pueda aconsejar como grabar un LOG de lo que esta pasando, hacer un DUMP de todos tus archivos, del estado del PC y toda la mayor cantidad de información posible del sistema..
Creo que si hay algo metido en tu maquina a muchos les gustaría ver que es..

Suerte! Saludos!

Me parece que estamos frente un severo caso de paranoia..

Nunca use Cheat Engine, pero siempre me dio la impresión que se podía usar no solo en juegos.. muy útil..

Saludos! Gracias!

PD: Justo revisando el foro hay un tuto nuevo de CheatEngine..

O sea que leeria un esacio de memoria X que resolvi mediante reversing.. no es que exista una funcion que lo haga,, tenemos si o si que saber donde esta esa variable.. por ejemplo, si es una variable entera (entera de int) leeria 4 bytes de la posicion X de memoria donde cominza?

Greacias! Saludos!

Creo que para empezar, podrías probar con SetWindowsHookEx.. luego, con practica harás tus métodos mas originales 

Yo tengo una pregunta también que siempre me quedo pendiente sobre el tema inyección dll,, al inyectar una dll estamos en el mismo espacio de memoria que el código inyectado, verdad? Como puedo ver el contenido de una variable? O sea, la variable no es mas que un sector en la ram,, como se cual sector es una variable y cual sector es código ejecutable??

Saludos!

Te referis a por ejemplo las funciones de las apis? Yo tenia pensado (en un principio), leer desde el servidor una cadena por ejemplo asi:


Con eso el motor ya sabría que hacer con X cosa.. cargaría con LoadLibrary el modulo, llamaría a la función con GetProcAddress, etc, etc... luego surgió lo de los opcodes y una maquina virtual mas compleja.. es todo cuestión de probar, solo así se podrá saber la eficiencia..


VM polimorfica no vi, (tampoco busque a fondo) pero hay buena información referente al tema.. la otra información que puso MCK también es muy buena, la VM esta creada en C#, pero no deja de ser buen material..

Saludos!

Mmm... no necesariamente.. yo creo que completamente indetectable no hay nada.. (quizás sea indetectada por un tiempo..) pero a la hora de la heuristica o abuso del malware,, siempre termina detectado...

Naa,, pero mi idea no es usar la VM de VB6 


Ya estoy haciendo unas pruebas en ASM.. y claro que si! Toda participacion es bienvenida.. (ademas puede ser un proyecto largo si asi se quiere) a lo mejor sale algo bueno 

Bien,, pero el exploit también son opcodes, no? Son muy parecidos.. en si el payload es la función especifica que explota la vulnerabilidad..

Mas que tener el VB6 instalado lo que necesita es la misma VM, como dijo MCKSys, mas específicamente se necesita la libreria msvbvm60.dll, como funciona exactamente "por dentro", lo desconozco, pero básicamente es una VM..

La idea es que el motor pregunte a un servidor que hacer.. estas tareas podrían cambiar en cualquier momento, ya sea la acción como la forma de realizarla.. supongamos que algún AV detecta la acción maligna, (pero no el metodo).. la acción podría hacerse con diferentes opcodes modificandola desde el servidor..

Saludos!