Mensajes

Hola, encima que te diho gracias ehh.
Podrías ser más amable solo estaba preguntando.
Yo he tenido respeto tenlo conmigo también.

Att N30h}

Me he perdido algo? Dime donde te falté al respeto :S

Una pequeña duda.
¿Porque no se permite descargar algo?
Ej: por que no puedo poner el link de el NetCat ?
O explicarme mejor eso.

Att N30h}

Porque en el subforo se puden publicar temas sobre estudio o análisis de malware, no del simple uso del mismo. De todas formas sí se pueden poner enlaces a binarios, como el netcat por ejemplo, pero siempre si es el link oficial (no vamos a estar analizando cada binario que cada user sube) o va acompañado del source.

Saludos

Saludos, me encanta el metodo.
Felicidades además sirve para aprender mucho, en vez de ya tener el Stub indectable.
Yo también he encontrado metodos parecidos.
Una última cosa, se que va a ser difícil.
Pero se podría hacer un pequeño scrip para que hiciese todo eso dando un solo click ?

Gracias !

Att N20h}

Si, obviamente, si el título del post es "Así funcionan los crypters" xD. No sería complicado hacer algo que lo automatizase, de echo el Metamorph Beta que sacamos hace tiempo por Abril negro hacía algo muy parecido.

Saludos

Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las  detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?

Mira el link que puse más arriba.

Saludos

Gracias entonces, me acabas de aclarar que no vale la pena utilizar un troyano ya hecho, seria mejor dedicar el tiempo a la creacion de un troyano desconocido, para evitar la encriptacion incluso, pues al ser desconocido no haria falta ocultarlo, por lo que habria que dedicarse mejor a mejorar que la actividad del troyano no sea monitoreada ni supervisada.

Aunque la idea de que cualquier troyano CONOCIDO pueda ser ejecutado sin que lo reconozcan los AV, para muchos sería una buena herramienta.

Un saludo.

Si, y aunque no sirvise sería un buen ejercicio, aunque solo sea por el ego xD.

Saludos

siempre al final tendras el virus o troyano en la memoria en abierto una vez descifrado y cualquier AV decente lo detectará.

Falso, aunque parezca increíble  . Lo detectarán a la hora de hacer el proceso de inyectarse, o cuando lo inyectado haga algo raro, pero por tener las firmas en memoria no pasa nada .

Saludos

ok vamos por partes, cogemos el archivo de test, lo invertimos por ejemplo, lo ciframos con xor 170 y si quieres podemos añadir un SHR a la derecha y el acarreo que provoque lo colocamos como primer bit de cada byte, ya no tiene la forma original ni de lejos, ahora nos vamos a un programa que lo lee por ejemplo de un archivo donde lo tenemos ya transformado, o no, mejor no lo lee de ningun sitio, el archivo lo tenemos integrado en modo binario dentro del propio programa, y este programa coge el codigo del archivo de test cifrado y dentro de una variable o de una zona de la memoria lo desciframos, para despues ejecutarlo y lo ejecutamos desde este mismo programa, y los AV no lo detectan. ¿estas realmente seguro?, me da la impresion que los AV BUENOS, lo detectaran. ¿no crees?

Si lo haces bien no lo detectan xD. En este caso si lo detectarían, porque un xor y un shr sigue sin ser suficiente para la heurística, pero metes una cifrado mejor y el AV no debería chillar.

Saludos

Actualmente se pueden diferenciar los Crypters (Cifradores) en dos ramas. Los scantime, que cuando son ejecutados sencillamente descifran en el ejecutable,lo guardan en el disco duro y lo ejecutan... O runtime, que descifran el ejecutable y lo ejecutan desde la memoria...
El scantime seria detectado ya que esta dejando en el disco duro el ejecutable descifrado, por lo que el antivirus lo detectara sin problema, en cambio el runtime no sera detectado, porque ningun AV analiza todo la memoria de todos los procesos en busca de codigo malicioso. Los runtime a veces son detectados por la defensa proactiva o heuristica.

Quitando el polimorfismo, cual seria la ventaja de ejecutar instruccion por instruccion? Me da la sensacion de que seria realmente inestable... ya que es muy dificil abarcar todas las posibles acciones que podria hacer el ejecutable...

Supongo que la heurística hace precisamente eso, ejecuta el archivo "en su mundo", para que le de tiempo a desencriptarse, y luego analiza el archivo descifrado en memoria. Osea, si el antivirus echa un ojo a la memoria lo detectaría, de esta forma no, o le costaría mucho más. El caso es que es tremendamente complicado hacerlo, pero para eso tenemos tiempo libre xD.

Saludos

He pensado en esa idea varias veces pero nunca se me dió por intentarlo, no sé tampoco si hay algo parecido hecho. Podemos intentarlo, pero estaría bien plantear ideas antes, por ejempo para evitar el problema de saltos etc.

Saludos

Spider-Net, no creo que eso sea ilegal.... tu analizas el binario con un debuger, no su código fuente, que es lo que está protegido. Según tu afirmación, proyectos como wine serían ilegales...

Saludos