elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


  Mostrar Mensajes
Páginas: 1 ... 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 [21] 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 ... 199
201  Seguridad Informática / Análisis y Diseño de Malware / Re: Proyectos Malware en: 10 Agosto 2014, 21:28 pm
Cita de: cpu2 en 10 Agosto 2014, 13:06 pm
Bueno, de todas las cosas que tenia pensadas, probemos las mas facil, y quedo FUD.

Es muy sencillo como unas 20 lineas de ASM y un cifrado XOR como dije, por eso me sorpendio ya que gente utiliza el RC4, RC5, y aun asi tiene detecciones...

Apenas tuve que meter code "basura" en las islas del code...

El analisis lo hizo @Vaagish en una de esas paginas de escaneo que en teoria no distribuye nada, no se si el Kaspersky tendria todos sus modulos de proteccion activos, pero en teoria si, no?
En realidad el escaneo que hacen paginas como VirusTotal, etc. no realmente te dice que evades totalmente el Antivirus, es simplemente a la hora de
escanear el archivo, Antivirus como Kaspersky hacen más que sólo escanear, ponen el archivo en entorno aislado y es ejecutado virtualmente
analizado cada acción, etc. la única manera de saber si esta evadiendo por completo es ejecutándolo en un sistema con el Antivirus e incluso a la hora
de escanear no recomiendo fiarse al 100% de los resultados de paginas de escaneo ya que podrían no mostrar el verdadero resultado, las razones son
varias algunas paginas tiene un 'time out', desactualización de base de datos/versión, configuración del Antivirus y hay más, esto lo he comprobado
incluso con VirusTotal.

Cita de: cpu2 en 10 Agosto 2014, 13:06 pm
bastante currada no es como una cualquiera, si esta sin cifrar tenia por lo menos unas 10 - 15 detecciones creo, y luego con el suyo unas 5 y el mio que do FUD, significa que dejaria FUD cualquier cosa depende de lo complejo que sea el malware o payload no?

Un saludo.
En realidad esto debería de ser de esa manera si realmente estas evadiendo el Antivirus completamente, aunque también podría afectar un mal diseño
del malware por ejemplo uno que escriba constanmente al disco, registro o creando procesos, hilos , etc. cualquier acción que sea interceptada por
el Antivirus podría afectar al malware en tiempo de ejecución. Por eso un error muy común que la gente hace es cifrar algún programa dummy
luego de que el RunPE es ejecutado y el Antivirus no lo detecta ya suponen que el cualquier malware será indetectable en tiempo de ejecución, eso
es falso.

Al final si encuentran un método que realmente funciona mi consejo es que olviden ir por el 'buen' camino, tendrían que estar realmente en el
área de seguridad informática y tener algo 'grande' sino sucederá lo más probable simplemente obtendrán un feedback, la venta o servicio de
ofuscación de programas contra prorgramas de seguridad no es un delito si saben hacerlo bien.
202  Programación / Ingeniería Inversa / Re: Pregunta Deshabilitar ASLR en: 10 Agosto 2014, 09:17 am
Cita de: MCKSys Argentina en 10 Agosto 2014, 08:29 am
Por Horus...  :P
¿Piensas explicar o te esta dando algun tipo de colapso?
203  Programación / Ingeniería Inversa / Re: Pregunta Deshabilitar ASLR en: 10 Agosto 2014, 06:22 am
Cita de: »®et2lib©« en  8 Agosto 2014, 16:19 pm
Gracias por las aclaraciones.

¿Tenes idea como llegar hasta el ImageBase desde memoria?(Aclaro:Sin fijarme en el archivo del disco duro)

Con GetmoduleHandle pasando valor cero, MSDN

Cargar un ejecutable es distinto de mapearlo, si el ejecutable es cargado y tiene directorio de relocalización entonces Windows
cambiara algunos valores de la imagen en memoria, como por ejemplo IMAGE_NT_HEADER.ImageBase.

Si el ejecutable es mapeado y tiene directorio de relocalización tambien se cambiará IMAGE_NT_HEADER.ImageBase, la dirección
retornada por MapViewOfFile es la misma, no se resuelven los directorios, etc. Pero si ejecutable no tiene el directorio entonces
Windows comprueba si el archivo se puede mapear en IMAGE_NT_HEADER.ImageBase sino es una diferente y el valor en
IMAGE_NT_HEADER.ImageBase no es cambiado.

Es como dijo karmany pero nadie hizo caso, o mejor dicho nadie entendío lo que dijo ya que no lo sabian.
204  Seguridad Informática / Análisis y Diseño de Malware / Re: Burlar antivirus en: 10 Agosto 2014, 05:41 am
Cita de: Kaxperday en  9 Agosto 2014, 14:00 pm
Hola a todos, hace tiempo tenía un programa que era un keylogger que saqué por aquí, entendí como funcionaba y aprendí a hacerlo, pero al compilarlo, sorpresa lo detecto mi antivirus.

Según tengo entendido, se puede crear un crypter o comprar uno para hacer invisible tu .exe, pero no quiero seguir ese camino (o muy difícil o pagando y fácil).

Leí que se podía hacer algo abriendo el .exe con un editor de ensablador y manipular ese hexadecimal, se programar poco con este lenguaje, pero quizás  haciendo incorporaciones de código y cambiándolo un poco pueda hacer algo, me gustaría saber si hay programas gratuitos para hacer esto, lo primero.

Y conocer las técnicas que utilizáis para burlar el antivirus, yo hasta aquí llego, gracias.
Olvidalo, si sabes programar mejor empieza a programar un crypter/ofuscador.
205  Seguridad Informática / Análisis y Diseño de Malware / Re: Proyectos Malware en: 10 Agosto 2014, 05:39 am
Si el crypter tiene alguna interesante tecnica para saltarte los Antivirus pueda que sí, aunque lo más probable es que no. Y me
refiero al menos como Kaspersky que para saltarte todos los modulos de protección se require un conocimiento decente de como
los Antivirus funcionan otros como Avira, Nod32, Panda son un chiste.

206  Programación / ASM / Re: Memoria segura en Windows Win32? en: 2 Agosto 2014, 17:30 pm
Cuidado con HeapSize ya que este podría no retornar el mismo valor pasado a HeapAlloc, la función retorna el tamaño del buffer, este
podría ser mayor debido a un posible alineamiento, esos bytes adicionales son validos a usar, así que donde podría haber un error copiando un numero mayor de bytes que el numero supuestos a reservados, serian copiados correctamente.

En mi experiencia podría decir que para aplicaciones donde se requiera gran uso de memoria dinámica del heap y quieran mantener control
de ella además de prevenir cualquier fuga de memoria es mejor crear tu propio heap privado para la aplicación ( HeapCreate ) y reservar
memoria desde ese heap así al final o en cualquier punto del programa que queramos comprobar cualquier fuga podemos validar los nodos
eso ahorra un montón de tiempo en depuración.

Además si es C++ se implementa una clase como te dijo Eternal Idol, el acceso a esa memoria no seria de ninguna manera directa
y la implementación de HeapAlloc o wrapper a ella debería retornar un descriptor no un puntero a la memoria en sí, ya que si se retorna el
puntero, este podría ser manipulado y también estar apuntando a memoria no reservada o en el peor de los casos a memoria valida pero
de al bloque que esperamos a copiar sino a otro.
207  Programación / ASM / Re: ¿que les parece el libro: ensamblador para computadoras basadas en intel? en: 22 Julio 2014, 04:34 am
Cita de: kratos123 en 22 Julio 2014, 03:22 am
hola.
necesito seriamente aprender ensamblador en windows, lo poco que sé lo lei en algunos tutoriales que tocan el tema superficialmente, busqué libros/tutoriales/paginas y sí hay buena información pero está orientado a ms-dos y versiones de windows de 16 bits (muy antiguas creo..) y otros para windows actuales pero estan en ingles (no se nadita de ingles), yo mas bien lo que necesito es hacer programas para windows más actuales (de XP en adelante) y que esté en español, tambien fui a ver algunas librerias y lo mismo , libros  antiguos.

busque , busque hasta que me tope en google con este libro: ensamblador para computadoras basadas en intel (en español)  que ya lo descargue.

ustedes creen que este libro servira para windows actuales?

del 1 al 10 que puntaje le dan?

tengo algo de experiencia de programación pero en visual basic 6.0 y mas o menos entiendo como funcionan los programas, soy nuevo en el foro y en esto de lenguaje ensamblador.

-----------------------------------------------------------------

olvide decir que es quinta edicion de KIP R. IRVINE
Ese está bien, es para Windows para novatos, lo de la APIs tendras que aprenderlo aparte ya que no conozco ninguna libro como estos
que enseñe ensamblador orientado a Windows usando sólo APIs, sólo tutoriales/manuales. también siempre es recomendable leer la ultima
edición liberada, hay una sexta.
208  Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Duda PE Crypter en: 3 Julio 2014, 09:34 am
Cita de: MeCraniDOS en  2 Julio 2014, 14:54 pm
Es como he visto que lo hacen los que dominan mucho del tema  :huh:

http://foro.elhacker.net/analisis_y_diseno_de_malware/srcc_rebuildpe-t262602.0.html

http://foro.elhacker.net/analisis_y_diseno_de_malware/srcc_anadir_una_seccion-t261801.0.html

http://foro.elhacker.net/analisis_y_diseno_de_malware/srcc_ampliar_seccion_ejecutable-t261800.0.html

En los códigos que hay ahí se trabaja desde memoria, y en funciones que he visto en otras webs, también trabajan mapeando el archivo y trabajando desde memoria :rolleyes:
Para mi el mapear el archivo es innecesario sino que alguien diga porque es necesario mapearlo.
209  Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Duda PE Crypter en: 2 Julio 2014, 04:38 am
Cita de: MeCraniDOS en  2 Julio 2014, 00:42 am
Era eso a lo que me refería, gracias  ;D

Otra pregunta, Karcrack me ha recomendado que monte el fichero en memoria y haga las modificaciones en memoria  :silbar:

He estado investigando sobre el tema, y me he hecho este mini código, pero no se si es del todo correcto...

Código
  1.     PIMAGE_DOS_HEADER DOS_Header;
  2.  
  3.     char Fichero[] = "Test.exe";
  4.  
  5.     HANDLE hFile = CreateFile((LPCTSTR)Fichero,GENERIC_READ | GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
  6.  
  7.     if(hFile == INVALID_HANDLE_VALUE)
  8.     {
  9.         printf("No se puede abrir el fichero: %s Error: %lu\n", Fichero, GetLastError());
  10.         return EXIT_FAILURE;
  11.     }
  12.  
  13.     HANDLE FMapped = CreateFileMapping(hFile, 0, PAGE_READONLY, 0, 0, 0);
  14.  
  15.     if(FMapped == INVALID_HANDLE_VALUE)
  16.     {
  17.         printf("No se puede mapear el fichero en memoria. Error: %lu\n" , GetLastError());
  18.         CloseHandle(hFile);
  19.         return EXIT_FAILURE;
  20.     }
  21.  
  22.     BYTE *FileMapped = (BYTE*)MapViewOfFile(FMapped, FILE_MAP_READ, 0, 0, 0);
  23.  
  24.     if(FileMapped == NULL)
  25.     {
  26.         printf("No se puede mapear el fichero en memoria. Error: %lu\n" , GetLastError());
  27.         CloseHandle(FMapped);
  28.         CloseHandle(hFile);
  29.         return EXIT_FAILURE;
  30.     }
  31.  
  32.     DOS_Header = (PIMAGE_DOS_HEADER)&FileMapped[0];
  33.  
  34.     // ....

Alguien me puede decir si es la manera correcta de cargar el ejecutable en memoria? (Mapear el archivo en memoria) O si hay alguna manera mas fácil..  ;D

Buenas noches!  :D
¿Porqué mapear el archivo? Suponiendo que se quiere agregar la sección al ejecutable y luego guardar la nueva imagen en disco
simplemente leer la imagen CreateFile+ReadFile
210  Seguridad Informática / Análisis y Diseño de Malware / Re: Como quitar Bit Defender/Kasperky/EsetNod32 en: 2 Julio 2014, 04:38 am
Cita de: xxxposeidonxxx en  2 Julio 2014, 02:09 am
Quiere modificar esas firmas de un crypter...
Quiza me salte la parte donde decias que era un crypter.
Páginas: 1 ... 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 [21] 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 ... 199
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines