Holas, después de ver siempre lo mismo me decidí a crear esta entrada:
Dynamic Forking, pero también lo llaman RunPE según he visto por la red.
http://www.noxsoft.net/2012/07/unpacking-malware-dynamicforking/
Pronto versión en pdf descargarble.
Agradecimientos a The Swash.
Saludos,
Nox,
Este metodo es el que usa la mayoria de los "crypters" para malware hoy en dia aunque realmente es demasiado basico para los antivirus de hoy en dia hace 3 años funcionaba bien pero ahora te comen los antivirus , por cierto psymera hizo una tool llamada "RunPE Killer" que servia para desempacar los hecho en VB(No me acuerdo si con otros lenguajes tambien andaba).
Buen Tuto
Saludos
Hola,
YST, anda con otros lenguajes. Solo enganchaba WriteProcessMemory y por ende se podía evitar utilizando NtWriteVirtualMemory.
Yo también apostaría a que las detecciones proactivas o emuladas se lo comerían vivo, ¿por qué aún lo siguen utilizando?
Gracias Nox.
Un saludo,
Iván Portilla.
Cita de: The Swash en 6 Julio 2012, 18:04 PM
Hola,
YST, anda con otros lenguajes. Solo enganchaba WriteProcessMemory y por ende se podía evitar utilizando NtWriteVirtualMemory.
Yo también apostaría a que las detecciones proactivas o emuladas se lo comerían vivo, ¿por qué aún lo siguen utilizando?
Gracias Nox.
Un saludo,
Iván Portilla.
Por que se acostumbraron por eso no mas jaja...
Hola,
Entonces supongo llega a estar muy cerca el punto en que esto dejará de ser útil en su totalidad, les queda el tiempo contado :)
PD: YST, como me alegra verte otra vez.
Un saludo,
Iván Portilla.
Sip, como mencioné es el pan de cada día, yo aún no sé como siguen usando esta técnica pero lo veo amenudo pero bueno eso pasa.
Gracias por leer.
pd: Un guste verte de nuevo YST
Saludos,
Nox.