elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)  (Leído 18,974 veces)
_katze_

Desconectado Desconectado

Mensajes: 140



Ver Perfil WWW
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #10 en: 22 Enero 2011, 01:49 am »

pero seria bueno como reto jejeje y no digo q sea comunitario


En línea

xpro

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #11 en: 22 Enero 2011, 12:51 pm »

Para mi beneficio, te diría que buscaras alternativas a las típicas cadenas que todos usamos, como por ejemplo..

El típico Split, se podría crear una función nueva o alguna alternativa a esto ( que no sea el resource, que salta kav. ). Por otra parte se podría intentar aquello de ejecutar las strings desde memoria..

Lo de ofuscar las api's, pues es una muy buena idea espero que funcione perfectamente. Por otro lado, puesto que este programa casi siempre se utiliza para ofuscar el code de crypters ( generalmente ), buscaría alguna manera de ofuscar los ya imposible de Fuddear runpe's.. y bueno, poco más te puedo decir creo que cualquier idea que se te ocurra a tí siempre será mucho mejor que lo que yo pueda decir.

Un saludo !


PD: Aquí, yo al menos en vb6 te echaba de menos..


En línea

The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #12 en: 24 Enero 2011, 04:21 am »

Bueno Karcrack, digamos que puedo dar una pequeña idea que no reemplazaria al ofuscamiento de API pero depronto sea útil.

Recuerdo que hace un tiempo cuando usaba VB (pasado) un día Avira detectaba DllFunctionCall, que justamente iba en el invoke, al modificar la libreria MSVBVM60 uno de sus caracteres Avira se iba, pero todo quedaba no funcional.

Pero resulta que la declaración de esa DLL no se ocupa hasta llamar la función entonces digamos que se puede hacer algo al abrir el ejecutable, sería cambiar en la declaración la libreria por xDDD.DLL un ejemplo, y cuando ejecuten el archivo llamar a un pequeño Copy(Encryptado("MSVBVM60.DLL"),"xDDD.DLL").

Te recalco algunas funciones que en si son detectadas
Split - Kaspersky
LOF - Avira, A-squared
App.Path + App.ExeName + ".exe", Avira creo.

Strings detectadas como "Stub", "HKCU../CurrentVersion/Run"

Espero de algo te sirva, Animo con eso Karcrack!

Como te digo es una pequeña experiencia que quizás sirva.
Un saludo y gran iniciativa como siempre Karcrack!

PD: Que detalle el de Kruzty  ;D
En línea

mixer

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #13 en: 25 Enero 2011, 21:56 pm »

Ideas para considerar:

- Agregar funciones alternativas a Split, LOF y Apertura, lectura de archivos.
- Que pueda agregar una buena cantidad de API reales pero inofensivas, o API falsas
- Varios modulos o forms con código Basura
- Reemplazar cadenas de Constantes
- Algo que muchos AV detectan la asignacion de valores constantes  podriamos ofuscarlo un poco

Por ejemplo si me detecta Var1 = &H4
puedo usar:

Var2 = &H4 + 15
Var1 = Var2 - 15

al final Var1 tomará el mismo valor. Con esos sacas a Nod, MSEssentials y varios más.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #14 en: 25 Enero 2011, 22:03 pm »

Es interesante la ofuscación de constantes :) Aunque lo de agregar módulos/funciones basura no me gusta la verdad... para mi es importante que el codigo resultante tenga una lectura tan sencilla como estaba antes... aunque lo que dices de meter APIs a diestro y siniestro puede ser útil :)

Ah! Otra idea que tuve es permitir el cambio de convención a la hora de llamar a las APIs, es decir, en vez de importarlas directamente desde el código (DllFunctionCall) hacerlo desde la IAT (TypeLiBrary)

Ya tengo una buena lista :) Creo que este fin de semana empezaré con los algoritmos :)
En línea

F3B14N

Desconectado Desconectado

Mensajes: 47


Ver Perfil
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #15 en: 26 Enero 2011, 16:07 pm »

Buenas, algo chiquito pero bueno seria, remplazar cualquier valor numérico por su equivalente string, pero llamando a la funcion Val() para que retorne lo que se necesita:

bB(0) = &H1 >>> bB(0) = Val("&H1")
call dd(1,2) >>> call dd(Val("&H1"),Val("&H2")
, y agregarle la posibilidad de cifrar ese string tambien :P

Despues estaria muy bueno agregale algo que limpie la ***** que agrega VB6, jugar con las estructuras que utilizo BlackZero (sino me equivoco), lo pensé hace tiempo, y creo que seria posible.

Que anden bien, Saludos  :)
« Última modificación: 26 Enero 2011, 16:12 pm por F3B14N » En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #16 en: 26 Enero 2011, 16:52 pm »

Despues estaria muy bueno agregale algo que limpie la ***** que agrega VB6, jugar con las estructuras que utilizo BlackZero (sino me equivoco), lo pensé hace tiempo, y creo que seria posible.
Ese tipo de modificaciones serian sobre el fichero compilado y en este proyecto me intereso en el codigo :)

Por cierto, estuve haciendo un poco de research :P y lanzo una buenisima idea para aquel que tenga tiempo :P... Desde el header de un fichero compilado de VB6 se puede acceder a las cadenas de las APIs importadas, se cifran, se modifica tambien el header para que haga al Loader de VB6 ejecutar una pequeña shellcode que descifrará las cadenas de las APIs... para que quede mas claro:
  • Abrimos el fichero compilado
  • Leemos la cabecera del VB6 y recorremos las cadenas de las APIs cifrando cada una
  • Inyectamos una shellcode en uno de los muchos huecos que quedan en el ejecutable
  • Modificamos la cabecera del VB6 para que haga ejecutar al Loader nuestra shellcode primero
  • La shellcode se encargará de descifrar las cadenas y saltar al EntryPoint original que había en el header del VB6

De esta forma las APIs serian descifradas en Runtime y en Scantime nuestras APIs serian irreconocibles :)
En línea

79137913


Desconectado Desconectado

Mensajes: 1.169


4 Esquinas


Ver Perfil WWW
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #17 en: 26 Enero 2011, 19:40 pm »

HOLA!!!

MMM, no se si es una buena idea pero otra forma no seria:

CODIGO ORIGINAL:
Código
  1. Private Sub Form_Load()
  2.        MsgBox "hola"
  3. End Sub


CODIGO OFUSCADO:
Código
  1. Private Sub Form_Load()
  2. Dim hola As Boolean
  3.    hola = False ' por las dudas XD
  4.    If hola Then
  5. hola:
  6.        MsgBox "hola"
  7.    End If
  8.    GoTo hola
  9. End Sub

Espero una respuesta para ver si sirvio o no.

GRACIAS POR LEER!!!
En línea

"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

 79137913                          *Shadow Scouts Team*
F3B14N

Desconectado Desconectado

Mensajes: 47


Ver Perfil
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #18 en: 26 Enero 2011, 19:47 pm »

Ese tipo de modificaciones serian sobre el fichero compilado y en este proyecto me intereso en el codigo :)

Por cierto, estuve haciendo un poco de research :P y lanzo una buenisima idea para aquel que tenga tiempo :P... Desde el header de un fichero compilado de VB6 se puede acceder a las cadenas de las APIs importadas, se cifran, se modifica tambien el header para que haga al Loader de VB6 ejecutar una pequeña shellcode que descifrará las cadenas de las APIs... para que quede mas claro:
  • Abrimos el fichero compilado
  • Leemos la cabecera del VB6 y recorremos las cadenas de las APIs cifrando cada una
  • Inyectamos una shellcode en uno de los muchos huecos que quedan en el ejecutable
  • Modificamos la cabecera del VB6 para que haga ejecutar al Loader nuestra shellcode primero
  • La shellcode se encargará de descifrar las cadenas y saltar al EntryPoint original que había en el header del VB6

De esta forma las APIs serian descifradas en Runtime y en Scantime nuestras APIs serian irreconocibles :)

Es facil para los que saben como hacer shellcodes, yo sé muy pocas instrucciones y por ahi me quedo.. :-(
En línea

BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: [BRAINSTORMING] KPC v3 (Karcrack Project Crypter)
« Respuesta #19 en: 26 Enero 2011, 20:19 pm »

.
@Karcrack.

Se podria usar parte del codigo de [Zero] ( End Analisis de Malware lo publico ). Eso lo podria hacer quien supiera ASM para que ese pequeño "Stub" no pesara tanto.

Dulces Lunas!¡.
En línea

The Dark Shadow is my passion.
Páginas: 1 [2] 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[SOURCE][ACTUALIZADO] Karcrack Project Crypter, cifra tus proyectos en VB « 1 2 3 4 »
Programación Visual Basic
Karcrack 34 29,756 Último mensaje 9 Febrero 2015, 15:54 pm
por Arlex
#1 CrackMe Karcrack « 1 2 »
Ingeniería Inversa
Karcrack 13 7,755 Último mensaje 14 Enero 2009, 22:50 pm
por Karcrack
[BRAINSTORMING] Troyano / Botnet ?
Programación Visual Basic
ANation 1 2,386 Último mensaje 18 Febrero 2011, 23:21 pm
por Elemental Code
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines