Mensajes

Estoy haciendo mega estupideces ilógicas:
- Modificación de string.
- Detección de firma AV
- Semi emulación de API de WINSOCK (obtengo la dirección de la misma forma que las shellcode luego ejecuto 3 instrucciones iniciales de la API y luego salto hacia la API no desde la IAT si no desde la sección .DATA)
- Timmer (loop muchos loop).

Esto lo he echo durante todo este día, aun no lo pruebo, solo he verificado la potabilidad.

A ver a quien se le ocurre otra cosa, saludos.

Saludos

Pues eso, que consejos me dan para evadir kaspersky, más que nada el análisis heurístico, ya que logro analizar estáticamente el ejecutable y este no es detectado, pero al iniciar es suprimido.

PD: DarkCommet


Saludos

Shellcode es un conjunto de instrucciones que permite la ejecución de una shellcode (cmd, bash, etc.) ya sea de forma directa o remota (bind shellcode o reverse shellcode). Un payload es un conjunto de instrucciones que permite la ejecución de código, digamos que el payload engloba a la ejecución de código sin considerar lo que hace, y shellcode es la ejecución de terminal.

Saludos

Puede tener mucha utilidad, si deseas crear una cuenta de administrador dentro del sistema, imagínate estás en un cyber o en algún lugar en donde si usas linux todo el mundo estaría mirando, puedes hacer lo comentado y en minutos estarás en Windows pero como admin, permitiendo instalar aplicaciones que podrían comprometer el equipo, en fin creo que la única limitación la pone tu imaginación, todo truco sirve quizás solo no pero complementado con otro podría provocar algo más atractivo.

No se mucho de PHP ni programación a nivel web, pero crear una cookie con un identificador único?, de esta forma evitarías que usuarios se hiciesen pasar por otros usuarios, a no ser que obtengan la cookie de otro usuario.

No sé si sirve, saludos.

Ingeniería inverse

Si se cuela un byte adicional es por que en el buffer no se está almacenando correctamente o hay bytes no permitidos, por lo cual deberías codificar tu shellcode o desplazarla, saludos.

No pueden y nunca podrán, hay muchos investigadores que depuran el sistema operativo en busca de estudiar su funcionamiento para descubrir posibles fallos, imagínate que depuraran el kernel y descubrieran el "backdoor de Windows", caería Microsoft bajo un sin fin de demandas sin contar la caída del sistema operativo debido a que cualquier persona que haya descubierto el fallo podría ingresar haciendo pasar por un funcionario de Microsoft. Lo que si pueden hacer es obtener estadísticas de uso.

Saludos

No entiendo muy bien tu duda. Bueno en cuanto a POP POP RET, es utilizado cuando la excepción es manejada por un manejador de excepciones, en tal caso la idea consiste en sobre-escribir la estructura SEH la cual está compuesta por dos parámetros DWORD, para ello:
- EIP debe apuntar al manejador de excepciones actuales (SEH) el cual debe contener una dirección POP POP RET.
- NSEH primer parámetro de la estructura SEH debe apuntar a un salto que se encargue de saltar la dirección POP POP RET

SEH - > JMP SHELLCODE
NSEH -> POP POP RETN
SHELLCODE

Recuerda que puedes ver en OllyDbg la estructura SEH actual, por lo cual desde ella debes obtener el desplazamiento adecuado para controlar tal estructura, saludos.

Hola a todos, durante estos días he estado buscando crypter de pago, lamentablemente me llevé una mala sorpresa con uno de pago, no daré nombres por respeto al autor. Ya que no quiero repetir lo sucedido me gustaría saber si ustedes conocen algún crypter que sea fud con DarkComet, a ver si me logran ayudar.

Saludos y buenas noches