[Taller] Así funcionan los crypters: cifrando malware a mano

Iniciado por [Zero], 30 Julio 2009, 19:42 PM

0 Miembros y 1 Visitante están viendo este tema.

reemaada


Vamos a buscar el espacio libre al final de la sección ejecutable y lo vamos a rellenar de NOP's usando el Editor Hexadecimal. Luego tambien vamos a cambiar los Flags del apartado Characteristics utilizando el LordPE.

Cleantesdeasso

#51
Buenisimo el paper, muchas gracias Zero!

Tengo un inconveniente con modificar el ret con el olly, porque no tengo claro que opcion del breakpoint elegir (toogle, y unas cuantas que no me acuerdo... de mas esta decir q no tengo idea de lo q hace ninguna...).
Y tambien me resulta extraño q el archivo executable resultante, pese casi la mitad de lo que pesaba el original (nota: estoy modificando un server del bifrost en realidad, pero haciendo basicamente lo mismo)
Alguna idea?? Muchas gracias.

EDIT: Nunca hubiera funcionado con este metodo segun he ido entendiendo muuuy de a poco, ya q el server q genera el Bifrost tiene EOF data, y ya no sirve... por eso dejaban de funcionar los servers q intentaba modificar :) Gracias anyway! (1 año despues XD)
"Que no!! q el hash hay q crakiarlo!!"

Mikroscopik0

¡Muy interesante! Le echaré un vistazo y si encuentro dudas, te diré. Tiene muy buena pinta.  ;-) ;-)

Cleantesdeasso

#53
Saludos. He logrado conseguir un server q siga funcionando luego de meterle la rutina  de encriptacion (tuve q modificar algunas cosas, pero vaya, segui los pasos casi tal cual). Ahora si funciona, pesa lo que tiene q pesar, pero el Avast lo detecta (extraño es, ya q antes habia probado con algunos krypters, y no lo detectaba, me infectaba sin problemas, y ahora, si bien sigue el server funcional, el avast  si lo detecta, grrrr...).
Como podria encriptarlo con un algoritmo mas potente? En q variarian los cambios en el olly? (la verdad q el olly es una pasada, pero no entiendo mucho los valores de ASM... habra q leer mas...) Bastaria con modificar la linea q pone "xor byte", por otra orden, o mas bien, faltarian muchas lineas mas q modificar en este caso? Espero haber sido claro, gracias, y a seguir leyendo...

EDITO: el mensaje era claro, q no tenia ni pajolera idea de lo k estaba haciendo XD. Gracias Zero por compartir :)
"Que no!! q el hash hay q crakiarlo!!"

N30h}

Saludos, me encanta el metodo.
Felicidades además sirve para aprender mucho, en vez de ya tener el Stub indectable.
Yo también he encontrado metodos parecidos.
Una última cosa, se que va a ser difícil.
Pero se podría hacer un pequeño scrip para que hiciese todo eso dando un solo click ?

Gracias !

Att N20h}

[Zero]

Cita de: N30h} en 14 Marzo 2011, 11:36 AM
Saludos, me encanta el metodo.
Felicidades además sirve para aprender mucho, en vez de ya tener el Stub indectable.
Yo también he encontrado metodos parecidos.
Una última cosa, se que va a ser difícil.
Pero se podría hacer un pequeño scrip para que hiciese todo eso dando un solo click ?

Gracias !

Att N20h}

Si, obviamente, si el título del post es "Así funcionan los crypters" xD. No sería complicado hacer algo que lo automatizase, de echo el Metamorph Beta que sacamos hace tiempo por Abril negro hacía algo muy parecido.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

N30h}

Hola, encima que te diho gracias ehh.
Podrías ser más amable solo estaba preguntando.
Yo he tenido respeto tenlo conmigo también.

Att N30h}

[Zero]

Cita de: N30h} en 14 Marzo 2011, 14:03 PM
Hola, encima que te diho gracias ehh.
Podrías ser más amable solo estaba preguntando.
Yo he tenido respeto tenlo conmigo también.

Att N30h}

Me he perdido algo? Dime donde te falté al respeto :S

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

N30h}

Guardate un poco el sarcasmo.
Y no no me has faltado casi el respeto pero no sé podrías decir un de nada yo que sé
Perdón no pasa nada.
Gracias [Zero] por cierto mola tú imagen xD
Shaddy tiene una parecida

YST

Cita de: N30h} en 15 Marzo 2011, 18:34 PM
Guardate un poco el sarcasmo.
Y no no me has faltado casi el respeto pero no sé podrías decir un de nada yo que sé
Perdón no pasa nada.
Gracias [Zero] por cierto mola tú imagen xD
Shaddy tiene una parecida

LOL! andas en tus dias? :xD Bro ni fue pesado contigo :xD


Yo le enseñe a Kayser a usar objetos en ASM