últimos mensajes de: x64core - Página 22

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

16 Mayo 2024, 15:56 pm

Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware

Mostrar Mensajes
Páginas: 1 ... 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 [22] 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 ... 199

211	Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Duda PE Crypter	en: 1 Julio 2014, 13:07 pm
Cita de: MeCraniDOS en 1 Julio 2014, 11:10 am Y eso? Sí Que bien, que yo sepa el ASM no es así (visualmente), pero ya me ha contestado daryo Cuando he dicho lo de la sección, era que mas o menos se lo que tengo que hacer, pero la lío tal y como lo hago, ya me habia leido el Taller en construcción que has pasado, y estaba intentando automatizar la Practica 1, agregar una sección, pero no se por donde seguir con el código porque siempre se rompe el ejecutable ah te referis a los bytes de las instrucciones. mejor lee el entero archivo de una vez y luego vas analizando las cabeceras del ejecutable y demás cosas.

212	Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Duda PE Crypter	en: 1 Julio 2014, 08:09 am
Cita de: MeCraniDOS en 1 Julio 2014, 00:53 am Según he estado leyendo, tiene que haber espacio para poder insertar la sección, cosa que no compruebo, pero donde está el contenido de cada sección? Justo despues de IMAGE_SECTION_HEADER? Se puede añadir una sección sin problemas pero requiere más trabajo, se debe incrementar el tamaño de las cabeceras y realinear todas las secciones y posiblemente actualizar RVAs a cualquier posible sección realineada esto es imposible si el ejecutable no tiene tabla de relocalización, bueno es 80% imposible todo depende del tipo de ejecutable. Cita de: MeCraniDOS en 1 Julio 2014, 00:53 am Lo que habia pensado era guardar el contenido que hay justo después de la última sección, insertar la mia, insertar el contenido que he guardado, y modificar de cada sección el PointerToRawData sumando el tamaño de la cabecera de la nueva sección, para apuntar de nuevo donde empieza la sección Si no se hace así, a ver si alguien me puede dar una idea de como se hace.. Tengo los conceptos un poco liados $:-\$ [/size] Eso y muchas cosas más http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_en_construccionsecciones_en_archivos_pe-t362515.0.html;msg1912797#msg1912797 Cita de: MeCraniDOS en 1 Julio 2014, 00:53 am Dos cositas mas He estado leyendo el código de [Zero] de como añadir una sección.. http://foro.elhacker.net/analisis_y_diseno_de_malware/srcc_anadir_una_seccion-t261801.0.html Y veo que utiliza En vez de utilizar esto Hay alguna diferencia? (Ventajas) definiciones de tipo para punteros a las estructuras. Cita de: MeCraniDOS en 1 Julio 2014, 00:53 am Se supone que eso son instrucciones en ASM? Saludos Sí

213	Seguridad Informática / Análisis y Diseño de Malware / Re: Como quitar Bit Defender/Kasperky/EsetNod32	en: 1 Julio 2014, 07:55 am
Usar crypter

214	Seguridad Informática / Análisis y Diseño de Malware / Re: Malware que descarga instrucciones?	en: 1 Julio 2014, 07:54 am
Te digo que si es original poner una entera descripción como nombre de algún programa?

215	Seguridad Informática / Análisis y Diseño de Malware / Re: Malware que descarga instrucciones?	en: 24 Junio 2014, 07:25 am
Cita de: engel lex en 24 Junio 2014, 07:15 am es decir que aunque sean maquina virtual java, maquina virutal action script ellos erraron en el concepto y colocaron un nombre que no es preciso para su función? En realidad es algo ambiguo yo no creo que seria algo original escribir una entera descripción como nombre de algun software es primera vez que lo miras?

216	Seguridad Informática / Análisis y Diseño de Malware / Re: Malware que descarga instrucciones?	en: 24 Junio 2014, 07:14 am
Cita de: engel lex en 24 Junio 2014, 06:39 am entonces java no es una maquina virtual debido que nunca emula hardware sino que hace la conversión de opcode java a opcode SOhost? Java, VB6, .NET tienen enfoque de actuar como una maquina virtual eso no significa lo mismo. creo que incluso Wikipedia resuelve tu duda.

217	Seguridad Informática / Análisis y Diseño de Malware / Re: Malware que descarga instrucciones?	en: 24 Junio 2014, 06:19 am
Cita de: Vaagish en 24 Junio 2014, 05:21 am Te referis a por ejemplo las funciones de las apis? Yo tenia pensado (en un principio), leer desde el servidor una cadena por ejemplo asi: Con eso el motor ya sabría que hacer con X cosa.. cargaría con LoadLibrary el modulo, llamaría a la función con GetProcAddress, etc, etc... luego surgió lo de los opcodes y una maquina virtual mas compleja.. es todo cuestión de probar, solo así se podrá saber la eficiencia.. Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio. No, eso vendria a relacionarse si en el código se necesitase que las importaciones se resuelvan, yo realmente lo veo feo una implementación de esa manera mejor resolver las funciones a usar durante la inicialización, me refiero a implementar GetModuleHandle, GetProcAddress , salvar la direcciónes de memoria para luego usarlas. Y lo que me refiero es a sresolver las direcciónes de memoria: http://en.wikipedia.org/wiki/Relocation_(computing) Cita de: Vaagish en 24 Junio 2014, 05:21 am VM polimorfica no vi, (tampoco busque a fondo) pero hay buena información referente al tema.. la otra información que puso MCK también es muy buena, la VM esta creada en C#, pero no deja de ser buen material.. Saludos! En primer lugar como siempre la gente confunde este tipo de terminos lo que en realidad se habla en los enlaces es acerca de emulación de código y no una maquina virtual, para realmente decir que es una maquina virtual allí debe haber virtualización, una maquina virtual emula incluso el hardware incluyendo la BIOS. Noten la enorme diferencia que hay entre emulación de código y una maquina virtual. Un ejemplo claro es Bochs este es más que un respetable emulador. Y no se extrañen, es comun mirar norteamericanos en CodeProject programando algo que nisiquiera ellos mismos saben que es. Cita de: MCKSys Argentina en 24 Junio 2014, 06:04 am La verdad, hace ya un tiempo que vengo leyendo tus posts y me resultan cada vez más irritantes (más allá de quien tenga la razón o no). Es evidente tu necesidad de "demostrar" y "desafiar" y, la verdad, no dedicaré más tiempo que el que estoy empleando para informarte sobre esta cuestión. No sé a que viene esto, supongo que alguien esta teniendo un mal día.

218	Seguridad Informática / Análisis y Diseño de Malware / Re: ¿que usos tiene la inyeccion dll?	en: 24 Junio 2014, 04:33 am
Cita de: daryo en 24 Junio 2014, 04:11 am gracias por la respuesta hare mi pregunta un poco mas especifica , ¿puedo inyectando codigo en un programa de esta forma cambiar su funcionamiento y registrar lo que sucede en este? Es posible. Cita de: daryo en 24 Junio 2014, 04:11 am ¿que tendria que hacer para poder hacer esto? Analizar el programa, todo depende de qué es lo que se quiera interceptar del programa. Talvez siendo más especifico de qué es lo que quieres interceptar o algo, no creo que alguien se le resuelva la duda con esa respuesta pero debido a que las posibilidades son miles no podria considerar todo.

219	Seguridad Informática / Análisis y Diseño de Malware / Re: Malware que descarga instrucciones?	en: 24 Junio 2014, 04:15 am
En realidad eso es lo que hace y a hecho malware durante años la descarga de payload desde la algún servidor y ejecutarlo. Pero sí, hablando especificamente acerca de 'descargar instructiones' y ejecutarlas es posible , el código debe ser especialmente diseñado para ser ejecutado de tal manera me refiero a PIC Pero igual se puede implementar una función que resuelva las direcciones de memoria de igual manera que lo hace Windows. Cita de: MCKSys Argentina en 23 Junio 2014, 20:12 pm Un lugar donde puedes encontrar VMs polimorficas es este. Pero ojo con lo que ejecutas! Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.

220	Seguridad Informática / Análisis y Diseño de Malware / Re: ¿que usos tiene la inyeccion dll?	en: 24 Junio 2014, 03:56 am
Cita de: daryo en 21 Junio 2014, 22:06 pm acabo de aprender sobre como hacer esto y hasta ahora conozco dos usos: -saltar firewall -bypass uac pero que mas se puede hacer Esto no realmente significa que injectando una dll se puede saltar la UAC,Firewall,etc. Si se habla de inyección de DLL en general viene casí ser lo mismo que ¿Porqué el uso de una DLL? simplemente tener poder ejecutar tu código en el proceso remoto de una manera más modular.

Páginas: 1 ... 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 [22] 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 ... 199

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines