| |
|
121
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Ayuda con firma Win32:VBCrypt-VW !!
|
en: 7 Diciembre 2014, 03:12 am
|
Hace mucho tiempo que modificar Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.
¿Hace mucho tiempo que no sirve de nada? ¿Desde cuando fue una solución en general? Incluso los escritores de virus desde los años de 1990 escribian motores polimorficos y metamorficos en virus para evadir firmas de AVs. Y el punto de subir a VirusTotal es la rapidez con la que los AVs pueden generar una firma estatica para un malware. Acerca del modding prefiero crackmes, packers... son más divertidos que estar removiendo firmas de AVs en un programa... pero bueno. - Ahora, si apesar de eso aún crees que remover firmas "manualmente" podria ser una solución hay cosas importantes en la modificación de malware ya que uno no sabe si se estaría modificando la infraestructura del mismo, dejandolo sin funcionar. Muchos casos por ejemplo: comprobadores de integridad, offsets fijos o cualquier situación en la que se considere algun valor fijo... Todo esto sin mencionar que si estas agregando código/datos a alguna sección es posible que sea necesario actualizar la sección y todas las posteriores y valores de la imagen PE y también saltos relativos, en otras palabras se necesitará una regeneración de toda la imagen PE lo cual todo eso en la mayoria de los casos es una tarea imposible de realizar, se necesitará información que sólo es disponible al programar el malware. En verdad que basuras como "AVfucker" nunca debieron existir. |
|
|
|
|
122
|
Programación / ASM / Re: Programa que calcule multiplicaciones ASM
|
en: 6 Diciembre 2014, 19:31 pm
|
Los opcodes equivalen a instrucciones en ensamblador...
Este es mi último mensaje en este post, puedes seguir dándole vueltas a los asuntos como siempre.
Entonces ¿puedo copiar y pegar en un .asm lo que me muestre en desensamblador? En algunos casos podria, pero el punto es que no es una solución en general. |
|
|
|
|
123
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Ayuda con firma Win32:VBCrypt-VW !!
|
en: 6 Diciembre 2014, 05:26 am
|
Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo.
Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado. PD:No se modifica por modificar o por el tiempo que dure, es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente.
saludos
¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV? Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible. Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién? - Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs. |
|
|
|
|
124
|
Programación / ASM / Re: Programa que calcule multiplicaciones ASM
|
en: 6 Diciembre 2014, 01:23 am
|
Todo programa compilado acaba siendo pasado a ASM, da igual que haya sido compilado en C, C++, Delphi o VB6 (por decirte algunos). El problema está en que para ver su código ensamblador tendrás que usar un debuger y el código no será limpio. En resumidas cuentas, vas a tener que escribir tu código en ASM. Aquí te dejo una ayudita. ASM es un lenguaje de programación, los compiladores generan código maquina. Me resultaría más fácil hacerla en C y convertirla a asm? Y si es asi, como haría esa conversión? Ya que cuando lo hago por teclado poniendo
Gcc -o programa.o -S programa.s
Me lo pasa a .s y al compilar no me funciona.
¿Qué hago?
Gracias
Si vas a hacer eso no seria mejor escribir desde el inicio en ASM? |
|
|
|
|
125
|
Seguridad Informática / Bugs y Exploits / Re: Duda con findjmp.exe (no consigo entender su verdadera utilidad)
|
en: 6 Diciembre 2014, 01:17 am
|
Hola x64Core,
Haber lo que me quieres decir es que se utiliza JMP ESP por que al machacar el EIP con esa
dirección me llevaría a la cima de la pila para ejecutar el shellcode(en el caso de que la
tenga apuntando a ESP) vale hasta ay creo estar en lo cierto.
Si cuando dices machacar te refieres a establecer el EIP con la dirección de esa instrucción, entonces es correcto. Con la otra parte que dices, significa que si no tuviera la shellcode apuntando en la cima y
la tuviera en cualquier otro lugar del stack debería de apañarmelas con otro juego de instrucciones
y utilizar la dirección de estas instrucciones para machar el registro EIP para que me lleve al lugar
exacto donde esta la shellcode para que sea ejecutada?
Yo estoy suponiendo que estamos hablando de un escenario donde se logra un stack overflow para cargar el exploit, a menos que estes introducciendo más valores en la pila ESP apuntará a la shellcode. 1)Nunca hay que confiar en las direcciones del stack por que estas direcciones variaran dependiendo
únicamente del programa, contenido etc...Y esto repercutirá en las direcciones que haga uso en el stack.
De ningun programa, no veo razon de porqué considerar por ejemplo el valor 0x1000 como la dirección de la pila o algo por el estilo. 2)Si confiamos en una librería del sistema, este exploit funcionara únicamente para el sistema que se
esta utilizando. Por decirlo de alguna manera el exploit dependerá del S.O en cuestión(teniendo en
cuenta lo que mencionaste, versión, sp, idioma etc...)
Dependerá de la libreria, es posible que el modulo se cargue en el mismo espacio de direcciones de diferentes sistemas operativos. 3)Esto es lo que yo deduzco. Lo lógico seria depender de una librería que haga uso el programa
vulnerable, ya que esta se cargara inmediatamente en el momento que se ejecute el programa y como la
dirección que contenga el JMP ESP de la librería se le abra asignado en el mismo instante
que se carga ya no me importaría saber de antemano la dirección ya que sea cual sea la dirección
podrá referenciar SIEMPRE(siempre y cuando no haya ASLR) a la cima de la pila. En este ultimo punto
estamos haciendo que el exploit ya no dependa del S.O si no de la aplicación vulnerable en cuestión,
de este modo nuestro exploit funcionara haya donde funcione la aplicación saltándonos como digo la
dependencia del S.O y ahora la dependencia sera sobre la aplicación asegurándonos así que la
explotación se realice con éxito en mas sistemas.
Supongo que esto ya se resuelve cuando respondí la 2. Esto se mira simple pero hay que considerar ASLR y DEP. |
|
|
|
|
127
|
Programación / Programación C/C++ / Re: Problema al compilar con struct
|
en: 5 Diciembre 2014, 02:52 am
|
|
Viendo la logica de tu programa y usando el sentido cómun de lo que quieres lograr entonces no deberia de tener el campo "horario" de la estructura medico ser un array de 7 (7 dias supongo) además de tener un campo para determinar el numero de dias?
|
|
|
|
|
128
|
Programación / Programación C/C++ / Re: problema en dev c++ con windows.h
|
en: 5 Diciembre 2014, 02:32 am
|
oyeee muchisimas gracias eres mi heroe, pero me resultan dos preguntas como hago para que esta ventana quede por fuera de la principal (a un lado) y como hago para que salga solo cuando se presione un boton seria dejandola oculta por defecto y despues al presionar el boton colocar el showwindow' y acerca del libro no hay algun otro en español
Eliminar la bandera WS_CHILD en la creación de la ventana hija: hChild = CreateWindowA(
SzChildWindowClass,
"REGISTRO NUEVO",
WS_OVERLAPPEDWINDOW | WS_VISIBLE,
CW_USEDEFAULT,
CW_USEDEFAULT,
400,
400,
hwnd,
NULL,
hInstancia,
0); Respecto a lo de ocultar la ventana podrias ocultar la ventana al momento de la creación usando ShowWindow con SW_HIDE: ShowWindow(hChild, SW_HIDE);
Luego al presionar el boton usar la misma función ShowWindow con SW_SHOW para mostrarla de esa manera evitas estar creando el objeto siempre que se presiona el boton, nosé todo depende del diseño de tu aplicación... sino colocar el código para crear la ventana en el case del boton. |
|
|
|
|
130
|
Programación / Programación C/C++ / Re: problema en dev c++ con windows.h
|
en: 5 Diciembre 2014, 00:40 am
|
sólo agregue la creación de una segunda clase en tu código. El tema de la creación de ventanas en Windows es un asunto importante y creo que uno debería de sentarse a pensar en eso y leer un buen libro como este: http://www.amazon.com/Programming-Windows%C2%AE-Fifth-Developer-Reference/dp/157231995XEn el código he creado una nueva clase, no redirigi nada, al veces es conveniente crear nuevas clases o crear apartir de ya existentes todo va a depender de cómo será el diseño de tu aplicación. #include <windows.h> #include <sstream> using namespace std; /* La función ProcedimientoVentana() es necesaria porque es la encargada de recibir los eventos (movimientos del ratón, tecla, clics a un botón, etc). En este caso, solo monitorea el momento el que el usuario decide cerrar la ventana para descargar la aplicación de memoria */ HWND textbox; HWND Etiqueta; HWND hCTexto; void ventana_principal(HWND); void ventana_registroNuevo(HWND); void ventana_nueva(HWND hwnd); //void boton1; LRESULT CALLBACK ProcedimientoVentana(HWND hwnd, UINT mensaje, WPARAM wParam, LPARAM lParam) { switch (mensaje) { case WM_DESTROY:{ //salir de la aplicacion //MessageBox(hwnd, "¡Adiós mundo cruel!", "Cerrando...", MB_ICONERROR | MB_OK); PostQuitMessage(0);//Manda WM_QUIT a la cola de mensajes que hará //que el programa salga del bucle de mensajes return 0; break; } /*case WM_COMAND:{ switch(wParam){ case } break; }*/ case WM_CREATE: { ventana_principal(hwnd); } case WM_COMMAND: //Llamadas a funciones de cada boton { switch (LOWORD(wParam)) { case 2: { break; } case 3: { //ventana_nueva(hwnd); //MessageBox(hwnd,"elemento","ESTA ES LA FUNCION RESTA",MB_OK);//CAJA DE TEXTO TITULO DE LA VENTANA E INTRUCCION DENTRO break; } case 4: { MessageBoxA(hwnd, "elemento", "ESTA ES LA FUNCION RESTA", MB_OK);//CAJA DE TEXTO TITULO DE LA VENTANA E INTRUCCION DENTRO break; } case 5: { ShowWindow(hwnd, SW_SHOWDEFAULT); MessageBoxA(hwnd, "elemento", "Eborro pantallaA", MB_OK);//CAJA DE TEXTO TITULO DE LA VENTANA E INTRUCCION DENTRO break; } case 6: //salir de la aplicacion { //MessageBox(hwnd, "¡Adiós !", "Cerrando...", MB_ICONERROR | MB_OK); PostQuitMessage(0);//Manda WM_QUIT a la cola de mensajes que hará //que el programa salga del bucle de mensajes return 0; } } } /*case WM_LBUTTONUP: { int xPos = LOWORD(lParam); int yPos = HIWORD(lParam); ostringstream os; os << "Hizo clic con el botón izquierdo"; if (wParam == MK_CONTROL) os << " mientras oprimía la tecla CONTROL"; else if (wParam == MK_SHIFT) os << " mientras oprimía la tecla SHIFT"; os << "\n\nCoordenadas: " << xPos << ", " << yPos; MessageBox(hwnd, os.str().c_str(), "Clic!", MB_ICONINFORMATION | MB_OK); break; }*/ } return DefWindowProc(hwnd, mensaje, wParam, lParam); } LRESULT CALLBACK WndChildClass(HWND hwnd, UINT mensaje, WPARAM wParam, LPARAM lParam) { switch (mensaje) { case WM_DESTROY: PostQuitMessage(0); break; } return DefWindowProc(hwnd, mensaje, wParam, lParam); } /* Esta cadena se ocupa para la clase de ventana y la función CreateWindowEx() se refieran a un mismo nombre */ char szNombreAplicacion[] = "Ejercicio2"; char SzChildWindowClass[] = "MyChildWindowClass"; int WINAPI WinMain(HINSTANCE hInstancia, HINSTANCE hInstanciaPrev, LPSTR lpLineaCmd, int nEstadoVentana) { //Los 4 pasos para crear una ventana... //1. Establecer los 12 campos de la "clase de ventana" WNDCLASSEXA ventana; ventana.cbSize = sizeof(WNDCLASSEXA); ventana.style = CS_HREDRAW | CS_VREDRAW; ventana.lpfnWndProc = ProcedimientoVentana; //recibe y maneja los eventos de la ventana como clics movimientos cierre de ventana etc. con punteros ventana.cbClsExtra = 0; ventana.cbWndExtra = 0; ventana.hInstance = hInstancia; ventana.hIcon = LoadIcon(NULL, IDI_APPLICATION); ventana.hCursor = LoadCursor(NULL, IDC_ARROW); ventana.hbrBackground = (HBRUSH)(COLOR_WINDOWTEXT + 8);//CreateSolidBrush( RGB(0xa0, 0x60, 0xf8) ); ventana.lpszMenuName = NULL; ventana.lpszClassName = szNombreAplicacion;//nombre de la clase de ventana ventana.hIconSm = LoadIcon(NULL, IDI_APPLICATION); //2. Dar de alta en el sistema a la "clase de ventana" if (!RegisterClassExA(&ventana)) { MessageBoxA(NULL, "No fue posible dar de alta a la ventana, abortando ejecución", "¡Error!", MB_ICONEXCLAMATION | MB_OK); return FALSE; } ventana.cbSize = sizeof(WNDCLASSEXA); ventana.style = CS_HREDRAW | CS_VREDRAW; ventana.lpfnWndProc = WndChildClass; ventana.cbClsExtra = 0; ventana.cbWndExtra = 0; ventana.hInstance = hInstancia; ventana.hIcon = LoadIcon(NULL, IDI_APPLICATION); ventana.hCursor = LoadCursor(NULL, IDC_ARROW); ventana.hbrBackground = (HBRUSH)(COLOR_WINDOWTEXT + 8); ventana.lpszMenuName = NULL; ventana.lpszClassName = SzChildWindowClass; ventana.hIconSm = LoadIcon(NULL, IDI_APPLICATION); if (!RegisterClassExA(&ventana)) { return FALSE; } //3. Crear la ventana en base a la "clase de ventana" anteriormente registrada HWND hwnd; hwnd = CreateWindowExA( 1, //dwExEstilo szNombreAplicacion, //Nombre de clase de la ventana a la que pertenece "Tienda de videos", //Título de la ventana //variables que permiten editar intefaz con usiario habilitando o desabilitando botones WS_OVERLAPPED | WS_CAPTION | WS_SYSMENU, //poner | despues de cada opcion y coma al final //WS_THICKFRAME | // WS_MINIMIZEBOX | //WS_MAXIMIZEBOX //WS_OVERLAPPEDWINDOW, //Tipo de ventana es igual a dwEstilo CW_USEDEFAULT, //Posición de la ventana en pantalla en "x" CW_USEDEFAULT, //Posición de la ventana en pantalla en "y" 500, //Ancho 450, //Alto HWND_DESKTOP, NULL, hInstancia, NULL); if (hwnd == NULL) { MessageBoxA(NULL, "Error al crear la ventana, abortando ejecución", "¡Error!", MB_ICONEXCLAMATION | MB_OK); return FALSE; } HWND hChild = 0; hChild = CreateWindowA( SzChildWindowClass, "REGISTRO NUEVO", WS_OVERLAPPEDWINDOW | WS_CHILD | WS_VISIBLE, CW_USEDEFAULT, CW_USEDEFAULT, 400, 400, hwnd, NULL, hInstancia, 0); //4. Mostrar la ventana en pantalla ShowWindow(hwnd, SW_SHOWDEFAULT); ShowWindow(hChild, SW_SHOWDEFAULT); //Necesario para manipular los mensajes o eventos de la ventana MSG mensaje; while (GetMessage(&mensaje, 0, 0, 0) > 0) //bucle de mensajes para cola de mensajes entrantes { TranslateMessage(&mensaje); DispatchMessage(&mensaje); } return mensaje.wParam; } void ventana_principal(HWND hwnd)//se crea ventana principal { //MessageBox(hwnd, "Se creó la ventana", "Ejemplo",MB_ICONINFORMATION | MB_OK); Etiqueta = CreateWindowExA(0, "STATIC", "MENU PRINCIPAL", WS_CHILD | WS_VISIBLE, 180,//posicion en x 200,//posicion en y 150,//ancho 30,//alto hwnd, NULL, 0, 0 ); /*textbox= CreateWindow("edit", " Menu principal", //nombre de la ventana WS_BORDER | WS_CHILD| WS_VISIBLE, 120,//posicion en x 180,//posicion en y 115,//ancho 20,//alto hwnd, NULL,NULL,NULL);*/ CreateWindowA("BUTTON", "Registro Nuevo", WS_VISIBLE//VIsIBILIDAD DEL OBJETO | WS_CHILD | WS_BORDER, //MARGEN AL TEXTO 90, //x 240,//y 130,//ancho 30,//alto hwnd, (HMENU)2, NULL, NULL ); CreateWindowA("BUTTON", "Buscar pelicula", WS_VISIBLE//VIsIBILIDAD DEL OBJETO | WS_CHILD | WS_BORDER, 240, //x 240,//y 130,//ancho 30,//alto hwnd, (HMENU)3, NULL, NULL ); CreateWindowA("BUTTON", "Editar Registro", WS_VISIBLE//VIsIBILIDAD DEL OBJETO | WS_CHILD | WS_BORDER, 90, //x 290,//y 130,//ancho 30,//alto hwnd, (HMENU)4, NULL, NULL ); CreateWindowA("BUTTON", "Eliminar Registro", WS_VISIBLE//VIsIBILIDAD DEL OBJETO | WS_CHILD | WS_BORDER, 240, //x 290,//y 130,//ancho 30,//alto hwnd, (HMENU)5, NULL, NULL ); CreateWindowA("BUTTON",//boton salir "Salir", WS_VISIBLE//VIsIBILIDAD DEL OBJETO | WS_CHILD | WS_BORDER, 180, //x 340,//y 110,//ancho 30,//alto hwnd, (HMENU)6, NULL, NULL ); }
|
|
|
|
|
|
| |
|
Mostrar Mensajes
