Mensajes

Si, y aunque no sirvise sería un buen ejercicio, aunque solo sea por el ego xD.

Saludos

Mas que por el EGO, yo lo decia porque cuando un troyano por ejemplo un BACKDOOR es efectivo en su trabajo, la reutilizacion de ese troyano y de muchos otros seria muy interesante alargando la vida de los mismos.

Un saludo.

Gracias entonces, me acabas de aclarar que no vale la pena utilizar un troyano ya hecho, seria mejor dedicar el tiempo a la creacion de un troyano desconocido, para evitar la encriptacion incluso, pues al ser desconocido no haria falta ocultarlo, por lo que habria que dedicarse mejor a mejorar que la actividad del troyano no sea monitoreada ni supervisada.

Aunque la idea de que cualquier troyano CONOCIDO pueda ser ejecutado sin que lo reconozcan los AV, para muchos sería una buena herramienta.

Un saludo.

Entonces no me he explicado bien, el hecho de cifrar de una forma o con un procedimiento AES o de cualquier otra forma no creo que sea lo importante, lo que ocurre es que de la forma que sea, siempre al final tendras el virus o troyano en la memoria en abierto una vez descifrado y cualquier AV decente lo detectará.

Saludos

Exactamente, pero no sirve únicamente con darle la vuelta... hace falta un cifrado un poco más complejo, solo dándole la vuelta el AV lo detecta

ok vamos por partes, cogemos el archivo de test, lo invertimos por ejemplo, lo ciframos con xor 170 y si quieres podemos añadir un SHR a la derecha y el acarreo que provoque lo colocamos como primer bit de cada byte, ya no tiene la forma original ni de lejos, ahora nos vamos a un programa que lo lee por ejemplo de un archivo donde lo tenemos ya transformado, o no, mejor no lo lee de ningun sitio, el archivo lo tenemos integrado en modo binario dentro del propio programa, y este programa coge el codigo del archivo de test cifrado y dentro de una variable o de una zona de la memoria lo desciframos, para despues ejecutarlo y lo ejecutamos desde este mismo programa, y los AV no lo detectan. ¿estas realmente seguro?, me da la impresion que los AV BUENOS, lo detectaran. ¿no crees?

[EICAR test file]

Ningun AV analiza la memoria de los procesos... sencillamente porque eso haria que el usuario notase una ralentizacion asombrosa... Pero bueno, esto puedes probarlo facilmente haciendole un StrReverse() al EICAR test file y descifrarlo en memoria... veras como ningun AV dice nada

Si ningun AV analiza la memoria de los procesos como dices, sin hacer nada especial simplemente inviertes un troyano o virus, lo descifras en memoria, y una vez asi, podrias ejecutarlo directamente. ¿no?, porque la intencion no solamente será tener un troyano en memoria, sino que el mismo este activo.

Pues si, tienes toda la razon seria bastante inestable, pero el hecho de hacerlo instruccion por instruccion es para que "nunca" el codigo del troyano este en abierto. Aunque la inestabilidad será inversamente proporcional a la calidad del analizador que determinaria que parte o partes son los que hay que descifrar para procesar correctamente, que desde luego para nada seria facil ni sencillo.

Y la finalidad de descifrar instruccion por instruccion y ejecutar que ventajas tiene? Quiero decir, seria exactamente igual que hacer un crypter runtime... pero complicandolo de forma innecesaria...

la finalidad principal es que nunca tendra la misma forma. esa es la ventaja. imagina que cuando creas el troyano con la cabecera de la que hablamos en tu ordenador, el codigo cifrado del troyano sera diferente que el mismo que yo generaria en mi ordenador aunque ambos usemos el mismo troyano, sin embargo cuando el troyano se esta ejecutando tanto el archivo tuyo como el mio haran lo mismo. gracias

la verdad es que la idea en si es complicada, pero poniendo un simil, imagina que el codigo del troyano fueran 10 bytes, que estarian originalmente asi, 1,2,3,4,5,6,7,8,9,0 pero una vez desordenado a la hora de cifrarlo en tu ordenador fuera en este instante 2,5,1,0,9,6,5,7,3,4,8 y ademas cifrado, logicamente tu semilla se quedara en tu cabecera para que la misma sepa el orden en que tiene que ir descifrando las instrucciones, una a una o multiples para la ejecucion del troyano, pero ojo debes pensar que un lugar en la memoria es donde esta el troyano cifrado, y otra parte reservada en la memoria de la longitud real del troyano estara llena de ceros, pero en la posicion adecuada iran apareciendo las instrucciones descifradas para ser ejecutadas, volviendolas a 0 una vez ejecutadas y apareciendo las nuevas sucesivamente pero nunca todas juntas a la vez, rompiendo por completo cualquier patron a buscar, no se si me explico correctamente o si se plasmar la idea bien para que se me entienda. a la vez que pensaba que la propia cabecera tambien cambiara de forma.
 

por cierto como funciona un crypter runtime, descrifra todo el codigo a ejecutar y luego lo ejecuta ¿no?, con lo que una vez terminado el descifrado, el codigo en abierto del troyano estaria en memoria y seria detectado con muchisima facilidad por los antivirus. ¿si ó no?, te pregunto porque no se realmente como funciona el crypter runtime de que hablas.

Vendria a ser como un descifrado progresivo instruccion por instruccion ¿?¿?

Exacto, pero como se ha dicho habrá ocasiones (muchas) en las que la zona a descifrar para ser procesada, no será de una instruccion, imagina que la instruccion a ejecutar es la carga en la direccion tal de un valor que esta en la direccion tal ó el resultado de una operacion anterior, por lo que la cabecera tendria que considerar y evaluar las necesidades de las instrucciones que se van a ir procesando para ir descifrando las zonas que vayan a ser necesitadas.

Lo he leido muy rapido, asi que no se si lo he entendido completamente... El proyecto consistiria en virtualizador de codigo... es decir, las instrucciones originales serian cifradas o bien reemplazadas por otras, y luego habria una parte encargada de interpretar ese codigo ejecutando las instrucciones... Algo como esto?

Código [Seleccionar] Expandir

http://www.oreans.com/es/codevirtualizer.php

No, no consiste en un virtualizador de codigo, sino como se propone seria una cabecera que desencriptaria y ejecutaria el codigo del troyano poco a poco, codigo que además estaria desordenado en si mismo, además de que la propia cabecera estaria en si misma tambien desordenada.

un virtualizador esta bien para proteger codigo, pero dará como producto cuando lo utilicemos para ofuscar un troyano un producto siempre igual, que una vez que lo identifiquen los desarrolladores de antivirus, seria facilmente detectable.

He pensado en esa idea varias veces pero nunca se me dió por intentarlo, no sé tampoco si hay algo parecido hecho. Podemos intentarlo, pero estaría bien plantear ideas antes, por ejempo para evitar el problema de saltos etc.

Saludos

Pues si, lo importante es darle forma entre todos, pulir la idea, y todo antes de empezar siquiera el desarrollo.

Como comentario lo ultimo que digo sobre que la cabecera sea polimorfica, quiero aclarar que la aplicacion que crearia el ejecutable a partir del troyano, el archivo cifrado en cuestion, es en ese punto donde el ejecutable nuevo cifrado, tomaria la forma concreta y determinada en cada ordenador, por lo que el mismo troyano creado por uno o por otra persona, nunca tendria la misma cabecera. si con la hora como decia añadimos el numero de serie del disco duro del ordenador donde se crea el ejecutable cifrado, daria siempre como resultado un ejecutable unico y diferente.