Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Vaagish

#281
Citarque te infecten y activen micro y webcam , no es descavellado , lo que si lo es , es que tu escuches al atacante.

Me parece que esta paranoica.. hace un dump total del pc y ponelo acá en el foro por favor!!!
#282
Por lo que has dicho, el backdoor/virus/downloader o lo que sea tiene que estar en el MBR o en la BIOS..
Si tu computadora hubiera quedado limpia después de la formateada y por las precauciones que decís tomar, es imposible (diría yo) que te estén infectando una y otra vez..

Quizás algún user te pueda aconsejar como grabar un LOG de lo que esta pasando, hacer un DUMP de todos tus archivos, del estado del PC y toda la mayor cantidad de información posible del sistema..
Creo que si hay algo metido en tu maquina a muchos les gustaría ver que es..

Suerte! Saludos!
#283
Me parece que estamos frente un severo caso de paranoia..
#284
Nunca use Cheat Engine, pero siempre me dio la impresión que se podía usar no solo en juegos.. muy útil..

Saludos! Gracias!

PD: Justo revisando el foro hay un tuto nuevo de CheatEngine..
Citarhttp://foro.elhacker.net/ingenieria_inversa/tutorial_cheat_engine_nivel_avanzado_tutorial_completo-t413372.0.html
#285
CitarPara leer direcciones de memoria tendras que hacer reversing pero para ello no necesitas estar en el mismo espacio de memoria del proceso victima por ejemplo ReadProcessMemory utiliza el Process Handle para situarse en el espacio de memoria del proceso destino. Eso si cuidado con ASLR.
O sea que leeria un esacio de memoria X que resolvi mediante reversing.. no es que exista una funcion que lo haga,, tenemos si o si que saber donde esta esa variable.. por ejemplo, si es una variable entera (entera de int) leeria 4 bytes de la posicion X de memoria donde cominza?

Greacias! Saludos!
#286
Creo que para empezar, podrías probar con SetWindowsHookEx.. luego, con practica harás tus métodos mas originales  :P

Yo tengo una pregunta también que siempre me quedo pendiente sobre el tema inyección dll,, al inyectar una dll estamos en el mismo espacio de memoria que el código inyectado, verdad? Como puedo ver el contenido de una variable? O sea, la variable no es mas que un sector en la ram,, como se cual sector es una variable y cual sector es código ejecutable??

Saludos!
#287
CitarPero igual se puede implementar una función que resuelva las direcciones de memoria de igual manera que lo hace Windows.

Te referis a por ejemplo las funciones de las apis? Yo tenia pensado (en un principio), leer desde el servidor una cadena por ejemplo asi:

CitarModulo:Kernel32.dll;Funcion:CopyFile;FileName:X.exe;....

Con eso el motor ya sabría que hacer con X cosa.. cargaría con LoadLibrary el modulo, llamaría a la función con GetProcAddress, etc, etc... luego surgió lo de los opcodes y una maquina virtual mas compleja.. es todo cuestión de probar, solo así se podrá saber la eficiencia..

CitarCita de: MCKSys Argentina en Ayer a las 20:12
CitarUn lugar donde puedes encontrar VMs polimorficas es este. Pero ojo con lo que ejecutas! :)
Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.

VM polimorfica no vi, (tampoco busque a fondo) pero hay buena información referente al tema.. la otra información que puso MCK también es muy buena, la VM esta creada en C#, pero no deja de ser buen material..

Saludos!
#288
Citarme imagino  que una VM polimorfica es completamente indetectable , claro lo digo sin conocer demasiado del tema
Mmm... no necesariamente.. yo creo que completamente indetectable no hay nada.. (quizás sea indetectada por un tiempo..) pero a la hora de la heuristica o abuso del malware,, siempre termina detectado...
#289
CitarY sobre la VM, pues si el user no elimina VB6 y su maquina pues este método si es valido.

Si te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.

Naa,, pero mi idea no es usar la VM de VB6  :xD

CitarSi te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.

Ya estoy haciendo unas pruebas en ASM.. y claro que si! Toda participacion es bienvenida.. (ademas puede ser un proyecto largo si asi se quiere) a lo mejor sale algo bueno  :P
#290
CitarEl Payload simplemente son instrucciones "funciones" pasadas a opcode, los payloads normalmente son utilizados en los exploits, este se encarga de explotar el bug y cargar el payload para que ejecute las instrucciones "funciones" que desees. Los polimorfismos de los payloads suelen ser mas simples que los del malware, pero el metedo es casi el mismo.
Bien,, pero el exploit también son opcodes, no? Son muy parecidos.. en si el payload es la función especifica que explota la vulnerabilidad..

CitarY esta es una pregunta abierta, eso de la VM de VB6, solamente es interpretado si el sistema tiene VB6 en el, no? Esta crea un opcode que la VM de VB6 puede interpretar, si es así desde mi punto de vista no vale mucho.
Mas que tener el VB6 instalado lo que necesita es la misma VM, como dijo MCKSys, mas específicamente se necesita la libreria msvbvm60.dll, como funciona exactamente "por dentro", lo desconozco, pero básicamente es una VM..

CitarLa verdad yo no le veo el sentido a esas cosas, no es mejor buen polimorfismo?
La idea es que el motor pregunte a un servidor que hacer.. estas tareas podrían cambiar en cualquier momento, ya sea la acción como la forma de realizarla.. supongamos que algún AV detecta la acción maligna, (pero no el metodo).. la acción podría hacerse con diferentes opcodes modificandola desde el servidor..

Saludos!