Lo dicho..
Lo primero es saber programar en ASM o por lo menos C/C++. No creo que se pueda en lenguajes como python o perl. Despues tienes que conocer las secciones de los ejecutables que quieras cifrar. Suelen ser PE, porque en Unix apenas hay antivirus y no tiene sentido.
A partir de ahi no te puedo decir nada mas, nunca he hecho nada por el estilo, pero The Swash esta haciendo un tuto de eso en este subforo y creo que te podria dar una magnifica orientacion.
Saludos.
se puede hacer tambien en vb6 y hay munchos pero hay una mala noticia el metodo de RunPE en vb6 es detectado por los AV y pienso que las mismas apis que se usan en vb6 son las mismas que c++ u otros lenguajes y el metodo de RunPE es el mismo y pienso que es detectado
Saludos Flamer
Cita de: Flamer en 12 Julio 2012, 04:06 AM
se puede hacer tambien en vb6 y hay munchos pero hay una mala noticia el metodo de RunPE en vb6 es detectado por los AV y pienso que las mismas apis que se usan en vb6 son las mismas que c++ u otros lenguajes y el metodo de RunPE es el mismo y pienso que es detectado
Saludos Flamer
Yo he encontrado muestras que no son detectadas usando esa técnica (claro que la heurística se lo debe comer).
Y para hacer un crypter debes saber programar y conocer el formato PE.
pd: me has hecho acordar mi crypter que lo tengo apartado xD.
Nox.
Cita de: Иōҳ en 12 Julio 2012, 04:38 AM
Yo he encontrado muestras que no son detectadas usando esa técnica (claro que la heurística se lo debe comer).
Y para hacer un crypter debes saber programar y conocer el formato PE.
pd: me has hecho acordar mi crypter que lo tengo apartado xD.
Nox.
Este año cursare programacion, por eso voy preguntando, si tienen un link me harian un favor, gracias.
Hola,
Sería bueno tener bases en programación y acerca de los ejecutables que quieres cifrar, para ello:
http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_asi_funcionan_los_crypters_cifrando_malware_a_mano-t262806.0.html
y esto también:
http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_en_construccionsecciones_en_archivos_pe-t362515.0.html
Y quizá esto:
http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_introduccion_al_diseno_de_rutinas_de_encriptacion-t273035.0.html
Y creo que tienes para rato.
Un saludo,
Iván Portilla.
Cita de: Flamer en 12 Julio 2012, 04:06 AM
se puede hacer tambien en vb6 y hay munchos pero hay una mala noticia el metodo de RunPE en vb6 es detectado por los AV y pienso que las mismas apis que se usan en vb6 son las mismas que c++ u otros lenguajes y el metodo de RunPE es el mismo y pienso que es detectado
Saludos Flamer
Y existen miles de otros metodos sin necesidad de usar "RunPE" ... a ver si me curro un POC
Hola,
YST, habláis de relocación y lanzamiento como otro hilo, Shellcode con un loader o..
¿Alguna otra?.
Un saludo,
Iván Portilla.
Hola,
He hecho un crypter scantime en C que utiliza el RC4. Ahora quiero añadir un crypter runtime pero ne se como functiona que debo saber para hacerlo ?
Saludos
Cita de: The Swash en 14 Julio 2012, 15:59 PM
Hola,
YST, habláis de relocación y lanzamiento como otro hilo, Shellcode con un loader o..
¿Alguna otra?.
Un saludo,
Iván Portilla.
Si, yo tambien pienso que se refiere a relocation
http://foro.elhacker.net/analisis_y_diseno_de_malware/ejecucion_de_archivos_desde_memoria_base_relocation-t264564.0.html
Siempre puedes primeramente estudiar un lenguaje de programación, despues una vez estudiado y comprendido el lenguaje, el crypter se hace solo! ;D
saludos
poseidon
Bueno ya que el tema esta creado...
Tengo entendido que el scantime descifra el programa directamente a memoria no? O algo así, no soy experto es más una duda.
El runtime lo hace en el propio archivo en disco, o al rebés.
Si alguien me aclara esto le estaré agradecido.
Es justmente al reves, scantime descifra y guarda el archivo en el disco duro, en cambio runtime descifra e inyecta el código en memoria.
Saludos, Noele1995.
Cita de: noele1995 en 23 Julio 2012, 11:12 AM
Es justmente al reves, scantime descifra y guarda el archivo en el disco duro, en cambio runtime descifra e inyecta el código en memoria.
Saludos, Noele1995.
Comprendo.
Espero mostraros algo dentro de poco porque llevo ya tiempo ojeando cosas de este tipo.
El stub se ejecutara siempre de disco a memoria no? O puede inyectarse en memoria haciendo una especie de loader y dejar el stub solo para que descifre/cifre y no que haga todas las funciones?
Por cierto, un stub puede no ser asm? Por lo que tengo visto no, aunque a veces no he visto todo lo necesario.
Gracias de antemano.