| |
|
1
|
Foros Generales / Sugerencias y dudas sobre el Foro / Reglas de la sección Analisis y Diseño de Malware
|
en: 30 Junio 2015, 07:05 am
|
el-brujo, admins, moderadores quiero hacer una sugerencia para mejorar y 'actualizar' la sección de Analisis y Diseño de Malware. Mis principales sugerencias serian cambiar las reglas de la sección respecto al permiso del contenido de los Posts y así darle una mejor apariencia a la sección a realmente analisis y desarrollo de malware. - Permitir la publicación de Malware, me refiero a ejecutables maliciosos y no por ejemplo a herramientas de administración remota como muestras para analisis. - La publicación de Antivirus, Anti-Rootkit o cualquier tipo de programa de seguridad sin el código fuente deberian ir en la sección de Programas o en Seguridad, a menos que sea un tema de analisis pero en ese caso el programa se trataria como una 'muestra' para analizar en busca de algún tipo de vulnerabilidad y no para usarse. El analisis de programas de seguridad tendriá relación con el desarrollo de Malware, depurando y analizando motores de Antivirus o funcionabilidades de Anti-Rootkit es posible escribir contra medidas para ellos. De ser posible lo anterior, sugerencia: cambiar el texto "Antes llamado Troyanos y Virus" por una advertencia para el usuario antes de descargar algun ejecutable de la sección o crear algún tipo de mensaje en la sección. La descarga de malware para analisis en archivos comprimidos con contraseña (Las posibles contraseñas por defecto estarian escritas en el tema con chincheta, el mismo que contrendria las reglas para evitar de descargar y ejecutar antes de leer las reglas) así para evitar marcar el foro con contenido malicioso por escaneres. Mi punto no es que alguien lo tome a mal por la posible manera en que sugerí este tema, talvez parece como que algo detallado (?), dí detalles ya que creo que esto sería nuevo en el foro, pensé en los que solo vienen a leer las sugerencias y/o que sus intereses son distintos al tema relacionado y al leer algo como: "permitir la descarga de programas maliciosos" puede que lo vean con otras intenciones. Para los que están familiarizados sólo es una sugerencia  |
|
|
|
|
6
|
Programación / PHP / Decodificar archivos PHP por Ioncube?
|
en: 22 Noviembre 2013, 23:32 pm
|
|
Alguien sabe alguna manera de descifrar/decodificar archivos que han sido cifrados/codificados con Ioncube?
Imcluso si hay un programa que realmente funcione y es de pago, pagaria por el. Si alguien sabe , gracias
Agregado:
He probado algunos incluso de pago pero ninguno me ha funcionado, así que si alguien sabe de uno que realmente funcione.
|
|
|
|
|
7
|
Programación / Ingeniería Inversa / VB6 - estructura interna modificada
|
en: 9 Noviembre 2013, 23:36 pm
|
|
Chicos lo han notado? la structura de la cabecera de los archivos VB5/6 ha cambiado:
00401288 56 42 35 21 36 26 2A 00 00 00 00 00 00 00 00 00 VB5!6&*.........
00401298 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~...........
004012A8 00 00 0A 00 09 04 00 00 00 00 00 00 00 00 00 00 .....�..........
004012B8 30 16 40 00 00 F0 30 00 00 FF FF FF 08 00 00 00 0�@..ð0..ÿÿÿ�...
004012C8 01 00 00 00 01 00 00 00 E9 00 00 00 38 12 40 00 �...�...é...8�@.
004012D8 38 12 40 00 58 11 40 00 78 00 00 00 82 00 00 00 8�@.X�@.x...‚...
004012E8 8B 00 00 00 8C 00 00 00 00 00 00 00 00 00 00 00 ‹...Œ...........
004012F8 00 00 00 00 00 00 00 00 50 72 6F 6A 65 63 74 31 ........Project1
No sé desde cuando pero hoy estaba reverseando un malware en VB y el script para encontrar el punto de entrada me estaba fallando.
agregado:
O talvez es error mio y alguno puede decir que pasa, aunque incluso compile un hello world desde un recien instalado VB6 y los offsets a cero
|
|
|
|
|
8
|
Programación / ASM / Opcodes,informacion Indocumentada
|
en: 16 Julio 2013, 12:25 pm
|
Solamente algunos opcodes indocumentados [AAM] [AAD] [SALC] [ICEBP] [UMOV] [LOADALL] [CMOV] [FCMOV] [FCOMI] [RDPMC] [INT01] [SALC] [UD2] Undocumented OpCodes: AAD ---------------------------------------------------------------------------- AAD - D5 IMM8 - ASCII Adjust before Division Undocumented: Available to all Intel x86 processors
Useful in production source code.
AAD
Flags: ASCII Adjust before Division
+-+-+-+-+-+-+-+-+-+ +----------+----------+
|O|D|I|T|S|Z|A|P|C| | 11010101 | DATA |
+-+-+-+-+-+-+-+-+-+ +----------+----------+
|+| | | |+|+|+|+|+| | D5 | IMM8 |
+-+-+-+-+-+-+-+-+-+ +----------+----------+
This instruction is the multiplication counterpart to AAM. As is the
case with AAM, AAD uses the second byte as an operand. This operand is
the multiplicand for AAD. Like AAM, AAD provides a way to execute a MUL
IMM8 that is unavailable through any other means in the CPU. Unlike MUL,
or IMUL, AAD sets all of the CPU status flags according to the result.
Intel states that the Overflow Flag (OF), Auxiliary carry Flag (AF), and
Carry Flag (CF) are undefined. This assertion is incorrect. These flags
are fully defined, and are set consistently with respect to any other
integer operations. And again, like AMM, beginning with the Pentium,
Intel has finally acknowledged the existence of the second byte of this
instruction as its operand. Intel says:
"Note: imm8 has the value of the instruction's second byte. The second
byte under normally assembly [sic] of this instruction will be 0A,
however, explicit modification of this byte will result in the operation
described above and may alter results."
This instruction exists in this form on all Intel x86 processors. See
the file AAD.ASM for diagnostics source code for this instruction.
---------------------------------------------------------------------------- completo aqui http://www.rcollins.org/secrets/ (ademas contiene informacion importante no documentada por intel) Opcodes funcionan para evadir emulacion de algunos AVs mier***  , ademas podemos usar algunos de los nuevos conjunto de instrucciones SSE 3, SSE 4 para ello tambien, pueda que quieran usar cpuid para obtener los conjuntos de instrucciones soportados por la cpu. Agregado a enlaces utiles. |
|
|
|
|
9
|
Programación / ASM / [+]Ensambladores, Documentación, Herramientas
|
en: 27 Junio 2013, 23:32 pm
|
Ensambladores, Documentación, Herramientas Ensambladores:FASM : DOS, Windows/Linux ( x86, x86-64 ) MASM32: DOS, Windows ( x86, x86-64 ) NASM: DOS, Windows/Linux ( x86, x86-64 )GoASM: Windows ( x86, x86-64 ) YASM: Windows/Linux ( x86, x86-64 ) GAS : DOS, Windows/Linux ( x86, x86-64 ) RosASM : Windows ( x86, x86-64 ) JWASM : DOS, Windows/Linux (x86, x86-64 )TASM : DOS LZASM : DOS, Windows ( x86 ) A86/A386 : DOS, Windows ( x86 ) VASM : DOS, x86, M680x0, PowerPC, ARM, Z80, 6502, 6800 HLA: Windows, Linux, FreeBSD Libros (Recomendados):EL Universo Digital del IBM PC, AT Y PS/2 ( 16 bits )(Español) Assembly Language for x86 Processors (6th Edition) Professional Assembly Language Introduction to 64 Bit Intel Assembly Language Programming for Linux Undocumented DOS: A Programmer's Guide to Reserved MS-DOS Functions and Data Structures/Book and Disk The Complete Guide to Mmx Technology DirectX, RDX, RSX, and MMX Technology: A Jumpstart Guide to High Performance APIs Enlaces Adicional: Interrupt Jump Table - BIOS, DOS Services & functions (16-bits)MMX and SSE Programming Introducción a FPU Hardware Level VGA and SVGA Video Programming Information Page Programacion en Windows con MASM32 Introduction to x64 Assembly Información tecnica acerca del x86 Guide to Winsock Programming Manuales de Intel Manuales y Guias de AMD Opcodes de 32,64-bis Opcodes+Informacion undocumentadaDepuradores:Windbg OllydbgIda debuggerBugdbgEDB DebuggerRadareGDBImmunity Debugger Emuladores/interpretes:EMU8086Jasmin, Assembler Interprete QEMUBochsDOSBOX (16-bits) |
|
|
|
|
10
|
Programación / Ingeniería Inversa / Obtener direccion de codigo de un Control ID
|
en: 27 Noviembre 2012, 09:10 am
|
|
Hola, me preguntaba si existe algo que me pueda ayudar a obtener la direccion del codigo que se ejecuta cuando se presiona un
control, veran tengo un programa que tiene un boton ( button class ) y quiero obtener la direccion del codigo para saber
que hace el programa al ejecutar ese boton. ya intente lo que pude:
puse un breakpoint en la TraslateMessage y de condicion: WM_COMMAND & WM_LBUTTONDOWN y logro llegar a la winproc function
luego ahí pongo un bp con [ESP+08]==WM_COMMAND o [ESP+08]==WM_LBUTTONDOWN bien pero el problema es que intento seguir
cada instruccion y llego hasta el ret del winproc y lo que espero que haga no lo hace, osea parece que no estoy traceando el lugar correcto. alguna sugerencia?
|
|
|
|
|
|
| |
|
Mostrar Temas
