Citarque te infecten y activen micro y webcam , no es descavellado , lo que si lo es , es que tu escuches al atacante.
Me parece que esta paranoica.. hace un dump total del pc y ponelo acá en el foro por favor!!!
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Mostrar Mensajes MenúCitarque te infecten y activen micro y webcam , no es descavellado , lo que si lo es , es que tu escuches al atacante.
Citarhttp://foro.elhacker.net/ingenieria_inversa/tutorial_cheat_engine_nivel_avanzado_tutorial_completo-t413372.0.html
CitarPara leer direcciones de memoria tendras que hacer reversing pero para ello no necesitas estar en el mismo espacio de memoria del proceso victima por ejemplo ReadProcessMemory utiliza el Process Handle para situarse en el espacio de memoria del proceso destino. Eso si cuidado con ASLR.O sea que leeria un esacio de memoria X que resolvi mediante reversing.. no es que exista una funcion que lo haga,, tenemos si o si que saber donde esta esa variable.. por ejemplo, si es una variable entera (entera de int) leeria 4 bytes de la posicion X de memoria donde cominza?
CitarPero igual se puede implementar una función que resuelva las direcciones de memoria de igual manera que lo hace Windows.
CitarModulo:Kernel32.dll;Funcion:CopyFile;FileName:X.exe;....
CitarCita de: MCKSys Argentina en Ayer a las 20:12CitarUn lugar donde puedes encontrar VMs polimorficas es este. Pero ojo con lo que ejecutas!Mostranos al menos una 'VM polimorfica' que se encuentre en ese sitio.
Citarme imagino que una VM polimorfica es completamente indetectable , claro lo digo sin conocer demasiado del temaMmm... no necesariamente.. yo creo que completamente indetectable no hay nada.. (quizás sea indetectada por un tiempo..) pero a la hora de la heuristica o abuso del malware,, siempre termina detectado...
CitarY sobre la VM, pues si el user no elimina VB6 y su maquina pues este método si es valido.
Si te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.
CitarSi te decides con los métodos del polimorfismo y ASM, cuanta con mi ayuda, ya que estos temas me parecen interesantes y no hay ninguno.
CitarEl Payload simplemente son instrucciones "funciones" pasadas a opcode, los payloads normalmente son utilizados en los exploits, este se encarga de explotar el bug y cargar el payload para que ejecute las instrucciones "funciones" que desees. Los polimorfismos de los payloads suelen ser mas simples que los del malware, pero el metedo es casi el mismo.Bien,, pero el exploit también son opcodes, no? Son muy parecidos.. en si el payload es la función especifica que explota la vulnerabilidad..
CitarY esta es una pregunta abierta, eso de la VM de VB6, solamente es interpretado si el sistema tiene VB6 en el, no? Esta crea un opcode que la VM de VB6 puede interpretar, si es así desde mi punto de vista no vale mucho.Mas que tener el VB6 instalado lo que necesita es la misma VM, como dijo MCKSys, mas específicamente se necesita la libreria msvbvm60.dll, como funciona exactamente "por dentro", lo desconozco, pero básicamente es una VM..
CitarLa verdad yo no le veo el sentido a esas cosas, no es mejor buen polimorfismo?La idea es que el motor pregunte a un servidor que hacer.. estas tareas podrían cambiar en cualquier momento, ya sea la acción como la forma de realizarla.. supongamos que algún AV detecta la acción maligna, (pero no el metodo).. la acción podría hacerse con diferentes opcodes modificandola desde el servidor..