Mensajes

Buenos días, se que es un poco pesado enseñar hacking pero me interesa muchísimo ese tema. No se programar. Dejo mi skype: . Gracias

Bueno, pues si quieres empieza por aprender a programar, que lo vas a necesitar.

Un saludo

Us auna API que te devuelva el handle del proceso (a partir de su PIC o WIndowText, por ejemplo) y a partir de ahí podrás llamar a la API para cambiar su prioridad.

Buenos días,

Primeras aclaraciones:
  No vengo a preguntar cómo hacer un troyano, ni a pedir un source code de uno de ellos, ni a preguntar como funciona un troyano ya desarrollado.

Segundas aclaraciones. Conocimientos:
  Avanzados en programación en distintos lenguajes. Utilizaré para este proyecto C++ y ASM.
  Básicos de criptografía (Diferenciación entre distintos tipos de criptografía, como por ejemplo simetrica y asimetrica, y conocimientos básicos del funcionamiento de éstos).
  En seguridad, tanto de redes como de aplicaciones (He realizado varias pruebas de concepto. Considero básicas para éste proyecto: Reversing, DLL Injection, API Hooking, Social Engineering - Phising, MiTM, ...)
  Y seguro que alguna cosa más me dejo que necesite para llevar a cabo este proyecto.

Terceras y últimas aclaraciones:
  El proyecto del que voy a haceros unas preguntas trata del desarrollo de un troyano medianamente avanzado. Incluiría rootkit, sistemas de propagación, sistemas de espionaje y sistemas de control. Algo que si en un futuro se pusiera en marcha y tuviera éxito, se pudiera considerar algo como una botnet.

Una vez hechas éstas tan necesarias aclaraciones, voy al grano;
  Quiero empezar a desarrollar malware por cuenta propia (inicialmente para sistemas windows), y tengo una serie de dudas al respecto:
    1. Localización del malware: ¿Cual es la mejor localización de un malware dentro de un sistema? ¿Sistema de arranque, drivers, archivos temporales, ...? ¿Porque?
    2. Antivirus: ¿Cómo un antivirus identifica un proceso malicioso? ¿Que reglas siguen los antivirus más modernos?
    3. ¿Que "estructura o diseño" consideráis la mejor para este tipo de malware? ¿Porque?

He de decir que me he estado mirando las preguntas más frecuentes y sí que es verdad que algunas responderían a mis dudas, pero los posts o se han eliminado o están incompletos y no me dan la información que necesito.

Muchas gracias por leeros el tostón y espero que alguien pueda responderme
Un saludo!

No voy a extenderme demasiado:

programa el malware en ring0, los antivirus modernos hookean las APIS de NtCreateFile (por poner un ejemplo) y 40.000 apis más, cualquier cosa que hagas en ring3 podrá ser detectada, analizada y detenida por el AV. Lenguajes únicos para malware: ASM y C, programa un driver o cualquier cosa que corra por ring0/rootkit.

Saludos.

El último archivo existente de esa ruta es por nombre o por fecha?

Estamos hablando de una cuenta de usuario de dominio (windows)?

De ser así usaría script VBS+WMI, conectando al ADSI, buscando cuentas de usuario de dominio con el estado bloqueadas, luego invocas el evento de SetPassword con un numero generado aleatoriamente y finalmente usas CDO para enviar un mail informativo al usuario. El mail del usuario se puede recoger de las propiedades del AD.

Si necesitas ayuda te monto un ejemplo.

No conozco éste juego en concreto, pero te explico por encima como deberías hacerlo:

1) Coge un capturador de paquetes, WPE Pro debería funcionar, si no tienes otras opciones como packeteditor.com, wireshark, etc...
2) Encuentra un punto para inyectar tu paquete modificado, yo normalmente intento colocarlo en el drop, es decir. Cojo un item de mi inventario y lo lanzo al suelo. Eso debería generar 2 "eventos" en el juego, el primero sería el paquete que indica que el item X ya no está en mi inventario y el segundo sería un paquete para indicar al worldmap que aparezca el item X en tal posición del mapa (ya que lo hemos lanzado...).
3) Una vez tengas identificados ambos eventos/paquetes, te tocará analizarlos he intentar una inyección en ese punto. Un ejemplo sencillo podría ser:

username::madantrax|drop-item::silver_sword::1|position::x15-y27

En ese caso cambiaría el drop-item::silver_sword::1 por drop-item::silver_sword::2, intentango engañar al server para hacerle creer que he dropeado 2 espadas en lugar de una, en la mayoría de casos aparecerán 2 espadas en el suelo y ya tendrás tu item duplicado xD

Saludos, a ver si tienes suerte!

[creo]

Bueno, con el tema de la deteccion por parte de VMProtect, ni idea.
Hay veces que el mismo Olly con StrongOD es detectado y otras no.
No imagino qué puede ser.

Otro tema: para qué le pones ese packer a los crackmes? Opino que eso sólo sirve para desmotivar a los más nuevos.

El crackme debería ser difícil, pero por la implementación que le das, no por el packer que le pones. Ni hablar que también debería ser divertido/entretenido.

En fin, con el tema de la detección: en mi XP SP3, tengo como 5 Ollys distintos, los cuales usan StrongOD (diferentes versiones) y algunos son detectados por VMP y otros no. No estoy en mi PC, pero creo que el Olly que preparo Mr. eXoDia (Olly portable) no es detectado. Fíjate en la web de tuts4you.

Saludos!

Gracias. El crackme será VB6, sacar el OEP es sencillo y ese packer no es 'in-crackeable'. Además he añadido una rutina "casera" para antidebug. Con solo parchear un JE estaría desactivada, por eso prefiero virtualizar la función y ver si os lo podéis saltar o no.

Si veo que nadie logra pasar el crackme cambiaré de packer, lo juro

Pues eso, estoy programando un crackme (cuando lo tenga terminado lo postearé aquí), antes de publicarlo quiero testear su dureza... y bueno, yo mismo soy incapaz de cargar el crackme en mi OllyDbg, siempre termina detectado xD



He buscado un poco en google, y según leo en tuts4you hay que usar StrongOD + Phantom con las siguientes configuraciones:

Código [Seleccionar] Expandir

-StrongOD
---------------------------------
- HidePEB         Enable
- *KernelMode     Enable
- Break on TLS    Enable = Always for VMP
- !*Kill Bad PE   Enable
- Skip some EC's  Enable
- AdvEnumModule   Enable = If target not stop at TLS or EP
- Remove EP OS    Enable = Delete one shot EP BP at TLS stop
---------------------------------
- Change Original Drivername into OllyDBG.ini file!
  DriverName=newcustom
---------------------------------
---------------------------------
-Phant0m | For XP & Win7 32 Bit
---------------------------------
- Protect DRx     Enable

Y otra nota más:

The only thing you need is the right settings of Olly & StrongOD & PhantOm to get no more detected by almost any protections.The important step is that your strongOD driver will also loaded on your system and if not = see your postet picture.So I had made already video about this how to setup the stuff and how to test.Just check again any first videos of my tutorials / script tutorials there you can see it again.

Also be sure that you changed the drivername in Ollydbg.ini file in the StrongOD lines [fengyue to something else].VMP files using almost always TLS callback entrys so its then important that you also have enabled break on TLS + remove one shot BP in StrongOD.If you load any file then you should stop at TLSC address if used.Now open BP map and see whether also no soft BPs / one-shot are to see anymore.

Only use a Olly + StrongOD + PhantOm.Optional you can also use POISON plugin if you need to patch any other functions in special cases like Enigma + GetStartUp info patches.Do not use any other hide plugins or enable the same patch stuff in other hide plugins too if you have they already enabled in StrongOD etc so it makes no sense if you enable the same stuff in different plugins so there you will get just problems.

Just check my videos again so you can't do something if you follow them with a little attention.So you can also use the latest StrongOD & PhantOm plugin versions so they will also work on Win7 32 Bit correctly.

If you have setup all right then you see this in Olly LOG...

KernelMode Enable!
HookSSDT Successful!

OllyDBG.ini file open and change...
[Plugin StrongOD]
.....
DriverName=Nael   <---- enter any name you want before you start Olly

If you now start Olly then you can see the 2 infos in Olly log without to load any file.If you also have any tool which can show you the SSDTable list then you will also see the Nael.sys driver listet.

Bien, pues hago todo lo que pone ahí pero no consigo hacer bypass al debugger-detection de vmprotect hahahaha, que estoy haciendo mal?

Saludos

Notepad++

Amigo, eres un genio,
Yo tengo una duda, no puedo subir la velocidad de ce a mayor de 100
si la pongo a 200 o 500 se trava, por que sera????
favor contestame gxxxss

A que te refieres con subir la velocidad? Al speedhack?