Proyecto Metamorph

Iniciado por [Zero], 24 Abril 2009, 23:31 PM

0 Miembros y 1 Visitante están viendo este tema.

[Zero]

Metamorph


Autores:



-Arkangel
-Karcrack
-Hacker_Zero

Bueno lo prometido es deuda, dije que os mantendría informados sobre el desarrollo de éste proyecto y lo haré en éste post. Iré actualizando éste post según vayamos progresando en el desarrollo del proyecto, y así también se le dará la oportunidad a cualquiera de aportar sus ideas.

Próxima Versión:

La próxima versión será la v2.0. Con ésta versión el proyecto da un vuelco para dejar de ser una herramienta y convertirse en un entorno para la indetectabilización de malware, contanto con numerosas herramientas como un disassembler, editor hexadecimal, editor de recursos, buscador de firmas, etc.

Otra importante novedad es que en ésta versión utilizaremos las librerías Qt para el desarrollo de la GUI, lo que nos adelanta bastante trabajo y la la vez da unos resultados muy buenos.

Algunas de las nuevas características que tendrá la nueva versión son por ejemplo, que cuenta con un disassembler, lo que le permite al programa modificar el ejecutable a su antojo sin correr el riesgo de modificar opcodes que sin saber a qué pertenecen. Otra característica importante y que esperamos que dé buenos resultados es la opción de hacer un rebuild a la IAT, tanto sobreescribiendo la IAT original, como moviendola a otro sitio como cambiar la IAT por otra que sólo importe LoadLibraryA y GetProcAddress y encripte las otras apis y se encargue de cargarlas en tiempo de ejecución  :).


Desarrollo próxima versión: 20%






Versión 2.0 20%

Capturas:








Desarrollo

-GUI 90%
-Dll Debuger 70%
-Disassembler 60%
-Rebuild IAT 50%
-Buscador de Firmas 40%
-Editor Resource 10%
-Añadir Espacio Sección Ejecutable 100%
-Añadir Sección 100%






Versión 1.0 BETA 100%


Características:

-Visor PE
-Buscar espacio libre
-Redireccionar Entry Point
-Detección de ejecutables VB
-Forzar Metamorfosis Offset (Meepa)
-Forzar Metamorfosis Offset (Xor)
-Redireccionar Calls C/C++ y ASM (Recodeada, con algoritmo pseudoaleatorio, nunca genera exes iguales)
-Ofuscación mediante la inserción de saltos
-Cambiar el Case de los Imports


Versión BETA. El programa seguramente tenga numerosos fallos y el comportamiento puede no ser el esperado.

El programa sólo funciona bien con ejecutables compilados en ASM y C/C++. No es recomendable usarlo con ejecutables en VB o en Delphi debido a que creará un ejecutable corrupto con un 99% de certeza.

Es necesario que el ejecutable tenga espacio libre al final de la sección ejecutable, en caso contraro el programa no funcionará. En el caso de crear éste espacio a mano, dejar la zona a 0's

En algunos pc's el programa se cuelga al pulsar analizar. Debido a la imposibilidad de los autores de reproducir éste error, si alguien encuentra la causa sería de gran ayuda.

Lo más interesante de ésta versión BETA es el código fuente. Rogamos que cualquier recomendación, bug, cuelgue, ejecutable corrupto o cualquier tipo de problema sea comunicado para poder solucionarlo.

Probado con ejecutables compilados en C/C++ y FASM de los cuales en ningún caso provocó la corrupción del ejecutable.

El rating de eficacia es bastante alto, usando una combinación de RedirectCalls, Jmp Ofuscation y Change IAT Case quita una media de 10-15 antivurs de 20.

Lista de Bugs encontrados hasta el momento:
- En algunos PC's el programa se cierra al pulsar analizar.
- No funciona con ejecutables de 64 bits.
- El programa debería comprobar si existe la carpeta Tools.
- La función de ofuscación por jmp's puede romper el ejecutable, hay que depurarla más.

Descargar Herramienta
Descargar Código Fuente




Iré actualizando el post según vayamos progresando.

Saludos  ;).

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Martin-Ph03n1X

Bien esperamos el codigo ...... gracia spor su comprencion .... no nos dejan una version beta de download de el 40% que llevan del programa?
  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"

[Zero]

El programa tiene finalizada la gui y el pe, las otras funciones con las que cuenta aún no están ligadas a la gui por lo que el programa aún no funciona, y no queremos sacar una beta hasta que dé sus primeros pasos  :). De aquí a 15 días pienso que tendremos avances importantes y seguramenta ya haya fecha para que los beta testers prueben y nos ayuden a mejorar.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Arkangel_0x7C5

suena interesante amigo

Saludos

Karcrack

aiiis... que bonito esta quedando y yo sin poder ayudar :-(

Suerte con el proyecto ;)

Saludos ;)

PD:Maldito Insti >:( :xD

[Zero]

Para la 2.0  ;D pero vete aprendindo C++!

Saludos  ;)

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

[Zero]

Bueno, avance importante, dos funciones clave terminadas:

-Forzar Metamorfosis Offset (Meepa)
-Forzar Metamorfosis Offset (Xor)


Con éstas dos, la herramienta ya es capaz de realizar el método meepa y el método xor de forma automática. Se introduce en un listview la una lista de offsets a modificar y el programa ofusca esos offsets mediante éstos métodos.

Aparte de esas dos, están terminadas dos funciones que hacen básicamente lo que hace topo, buscar huecos en el ejecutable, llenarlos de nop's y redireccionar el entry point a esos huecos.

Nos vamos acercando   :).

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Martin-Ph03n1X

osease que podras editarlo pero cual es su intencion en muy pocas palabras... y en largos rasgos... hablando de  esta funcion?
  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"

Thor

Tiene buena pinta.

¿A que os referís con esto?
CitarFinalizado Creador BD (Delphi)

Martin-Ph03n1X

#9

*******

ya me fije bien es
BD=BasedeDatos=EN_Delphi
  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"