Mensajes

Esta bien, probaremos el Bitdefender, alguno mas?

Y despues de eso, seguramente que ya sea FUD, pero el code no le interesa a la gente no? Quieren un crypter de un click xD.

Un saludo.

[P.D.2:]

Bien a parte de probar la inyeccion en un proceso previamente creado, lo testeamos en un procsso como chrome.exe, y todo salia a la perfeccion ningun tipo de deteccion en analisis estatico y dinamico, y con todos los modulos de proteccion.

Creo que es un buen inicio, como continuamos?

A quien le interesa este tipo de cosas, y donde puedo encontrar a ese tipo de gente?

Todo legal por supuesto.

Un saludo.

P.D: Testeado en explorer.exe, y todo perfecto.

P.D.2: Hay alguna posibilidad de vender el code solo? Sin ninguna interfaz ni nada eso.

[@EI]

Deberias decirnos exactamente donde falla. ¿Lo depuraste? ¿CreateFile retorna algo diferente a -1 (0xFFFFFFFF) pese a que intentes abrir el archivo en modo exclusivo? Sinceramente no se donde donde esta la relacion con los segmentos todavia ...

Exacto, no se que pintan los segmentos hay, pero una cosa @EI es correcto que los segmentos solo se pueden modificar con privilegios en CPL, en ring3 nada, no?

O eso entendi en los manuales.

@harry_the_blogger

Podrias utilizar push para guardar los retornos de las funciones, mejor que moverlos a .data.

Un saludo.

Corrijanme si me equivoco, pero para modificar los registros de los segmentos necesitas tener privilegios en CPL. En que modo estas?

A porcierto estas en x86 o en x64?

Recuerdo a ver leido de que en x64, se puede modificar los valores de fs y gs con una instruccion sin tener ningun tipo de privilejio, pero tienes que tenerla activada en el registro de control cr4.

Un saludo.

Que tal esta?

Código [Seleccionar] Expandir

http://www.ofiprix.com/productos/asientos-de-oficina/sillones-direccion/neptuno

Es super PRO xD.

No ahora enserio, yo tengo una de "polipiel" y no se la recomiendo a nadie, se rompen y se "pelan" enseguida, esa es mi experiencia con ese tipo de materiales.

Un saludo.

Hola

Llevo unos dias intentando saber en que offset carga la secuencial boot el kernel, plataforma OpenBSD.

No se cuantos codes llevo leidos y aun no encuentro nada claro sobre el tema, mi intencion es una vez que el boot carge el kernel en la memoria inyectar algo de code, simplemente son pruebas mias.

Bien ya hice pruebas con otras partes y direccion, no inyecto nada simplemente leo.

MBR  ---> 07c0:0000
Boot  ---> 4000:0000
Kernel ---> ???

Esa es basicamente mi  pregunta, espero que se entienda bien y no haya sido muy directo.

Un saludo.

¿Qué veis mejor? ¿Pasar parámetros a funciones en la pila, o en registros?

Veo mejor usar registros, a eso se le llama sistema "fastcall". El motivo ya lo dice el nombre, trabajar con los registros es mejor que con la pila.

Por ejemplo, ¿al pasar parámetros a funciones con la pila, esas funciones van a leer la pila y dejarla como está, o van a quitar los valores de la pila?

Si haces un disassembler veras que cargan directamente los valores en la pila, luego la funcion llamada los lee, normalmente suelen limpiarla o dejarla como antes, pero pierdes optimizacion, por eso es mejor usar registros, desde este punto de vista.

Un saludo.

Inyección y luego descarga del payload estaría bien no olviden que el Antivirus puede enviar las pruebas a los servidores
si son descuidados todo el esfuerzo seria para nada.

Vaya, no sabia eso de los servers, gracias por el interes, ya informaremos.

Un saludo.

[@Vaagish]

Bien, como dijimos instalariamos el Kaspersky y hariamos las pruebas, segun el usuario @Vaagish es totalmente FUD, instalo la ultima version de el AV activando todos sus modulos de proteccion y la ultima base de firmas.

Con esas condiciones es posible que interese alguna empresa, o compañia todo legal claro.

Un saludo.

[@Vaagish]

En realidad el escaneo que hacen paginas como VirusTotal, etc. no realmente te dice que evades totalmente el Antivirus, es simplemente a la hora de
escanear el archivo, Antivirus como Kaspersky hacen más que sólo escanear, ponen el archivo en entorno aislado y es ejecutado virtualmente
analizado cada acción, etc. la única manera de saber si esta evadiendo por completo es ejecutándolo en un sistema con el Antivirus e incluso a la hora
de escanear no recomiendo fiarse al 100% de los resultados de paginas de escaneo ya que podrían no mostrar el verdadero resultado, las razones son
varias algunas paginas tiene un 'time out', desactualización de base de datos/versión, configuración del Antivirus y hay más, esto lo he comprobado
incluso con VirusTotal.

Bueno pues tocara instalar Kaspersky.

En realidad esto debería de ser de esa manera si realmente estas evadiendo el Antivirus completamente, aunque también podría afectar un mal diseño
del malware por ejemplo uno que escriba constanmente al disco, registro o creando procesos, hilos , etc. cualquier acción que sea interceptada por
el Antivirus podría afectar al malware en tiempo de ejecución. Por eso un error muy común que la gente hace es cifrar algún programa dummy
luego de que el RunPE es ejecutado y el Antivirus no lo detecta ya suponen que el cualquier malware será indetectable en tiempo de ejecución, eso
es falso.

No es por tirarnos flores, pero la RS creo que esta bien diseñada. El crypter es "Runtime" asi es como lo llaman.

Al final si encuentran un método que realmente funciona mi consejo es que olviden ir por el 'buen' camino, tendrían que estar realmente en el
área de seguridad informática y tener algo 'grande' sino sucederá lo más probable simplemente obtendrán un feedback, la venta o servicio de
ofuscación de programas contra prorgramas de seguridad no es un delito si saben hacerlo bien.

Bueno en principio yo no soy programador de Malware ni mucho menos, simplemente me gusta la criptografia, ya lo sabes, como bien dije al principio ayude desinteresadamente al usuario @Vaagish en su RS, salio este problema y le dije que a lo mejor podria ayudarle, y para mi sorpresa sucedio que se quedo FUD, con una simple rutina para el stud (desde mi punto de vista) y un simple XOR, por eso abri esto hilo, no es mi idea abrirme camino por el mundo de la seguridad y AV´s, simplemente dije lo de las empresas por si cae algo y para ser legales, ni mucho menos hacernos famosos xD.

A medida de que estudio ASM, no solo las instrucciones si no la aquitectura de la CPU, tengo mas ideas sobre esto, bueno y en todo en general, se instalara Kaspersky, si resulta detectado no me importa, tengo muchas mas ideas, y en realidad este no es mi campo, tengo cosas en mente pero esto de los crypters no.

Un saludo.