Mensajes

Tendrás que conformarte con la versión express y mirar las características diferentes de la versión express para ver si te conviene o no.

La segunda solución es que aprendas reversing, pero eso te va a tomar bastante tiempo (me refiero a emular la llave).

Saludos,
Nox.

Y salió la Parte 2:

http://www.noxsoft.net/2012/06/analisis-malware-acadmedre-parte-2/

Nox.

Pos por ahí vi a alguien diciendo que no hay actividad y eso, bueno he estado haciendo con unos amigos analizando el malware ACAD/Medre que según ESET fue dirigido al Perú.

http://www.noxsoft.net/2012/06/analisis-malware-acad-medre-parte1/

Estoy por empezar a escribir la parte 2, cuándo lo tenga terminado lo postearé en este mismo hilo.

Pd: Próximamente también estará en formato PDF para descargar.

Saludos,
Nox.

Eso lo hice en la sintaxys de masm32, para el mismo ensamblador.

Mira aquí te dejo esto, zeropad ha vuelto y está terminando su trabajo:
http://ricardonarvaja.info/WEB/OTROS/PROGRAMACION%20DE%20VIRUS/

Él obtiene el módulo del kernel32 a través del stack, que sería lo "mismo" que lo hagas con el PEB, entonces sitúate en el momento donde ya encontró el módulo de kernel y se dispone a obtener la función getproceaddress, que ahí lo explica detallado.

También te recomiendo que leas sobre sobre el Formato PE.

Saludos,
Nox.

Hola Karmany!!

Gracias por postearlo, la verdad que yo andaba/ando muy liado con el trabajo, proyectos que he iniciado y un paper que estoy preparando, a las justas saco tiempo para mi.

Saludos,
Nox.

Interesante Gracias!

Búscalos en la MSDN tiene un apartado específico para conjunto de keys por así decirlo...

Saludos,
Nox.

Ninguna, jamás dije que incumpla una regla.

Esto pasa cuando los nuevos no leen :S

http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html

Por si te interesa:

http://www.noxsoft.net/2012/06/undocumented-peb-accediendo-los-modulos/

Saludos,
Nox.