Unpacking Malware, Dynamic Forking

Iniciado por Иōҳ, 5 Julio 2012, 22:26 PM

0 Miembros y 1 Visitante están viendo este tema.

Иōҳ

Holas, después de ver siempre lo mismo me decidí a crear esta entrada:

Dynamic Forking, pero también lo llaman RunPE según he visto por la red.

http://www.noxsoft.net/2012/07/unpacking-malware-dynamicforking/

Pronto versión en pdf descargarble.

Agradecimientos a The Swash.

Saludos,
Nox,
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

YST

Este metodo es el que usa la mayoria de los "crypters" para malware hoy en dia aunque realmente es demasiado basico para los antivirus de hoy en dia hace 3 años funcionaba bien pero ahora te comen los antivirus , por cierto psymera hizo una tool llamada "RunPE Killer" que servia para desempacar los hecho en VB(No me acuerdo si con otros lenguajes tambien andaba).

Buen Tuto
Saludos


Yo le enseñe a Kayser a usar objetos en ASM

The Swash

Hola,

YST, anda con otros lenguajes. Solo enganchaba WriteProcessMemory y por ende se podía evitar utilizando NtWriteVirtualMemory.
Yo también apostaría a que las detecciones proactivas o emuladas se lo comerían vivo, ¿por qué aún lo siguen utilizando?

Gracias Nox.

Un saludo,
Iván Portilla.

YST

Cita de: The Swash en  6 Julio 2012, 18:04 PM
Hola,

YST, anda con otros lenguajes. Solo enganchaba WriteProcessMemory y por ende se podía evitar utilizando NtWriteVirtualMemory.
Yo también apostaría a que las detecciones proactivas o emuladas se lo comerían vivo, ¿por qué aún lo siguen utilizando?

Gracias Nox.

Un saludo,
Iván Portilla.

Por que se acostumbraron por eso no mas jaja...



Yo le enseñe a Kayser a usar objetos en ASM

The Swash

Hola,

Entonces supongo llega a estar muy cerca el punto en que esto dejará de ser útil en su totalidad, les queda el tiempo contado :)

PD: YST, como me alegra verte otra vez.

Un saludo,
Iván Portilla.

Иōҳ

Sip, como mencioné es el pan de cada día, yo aún no sé como siguen usando esta técnica pero lo veo amenudo  pero bueno eso pasa.

Gracias por leer.

pd: Un guste verte de nuevo YST

Saludos,
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net