Tendrás que tocar la cabecera PE, o algo relacionado con ella como el align de las secciones, en eso se basa esa firma.
Saludos
Saludos
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#32
Análisis y Diseño de Malware / Re: Como funciona lo de infectar .exes y .dll ?
7 Abril 2012, 03:56 AM
Puedes buscar sobre el formato PE. En este mismo foro Ferchu publicó por Abril Negro hace unos años un taller sobre el formato PE, en una de las secciones añade código a un ejecutable de forma manual.
Saludos
PD: Y Arkangel si sabe
.
Saludos
PD: Y Arkangel si sabe
.
#33
Seguridad / Re: ¿Confían en los antivirus los expertos en seguridad informática?
5 Marzo 2012, 23:24 PM
Pues, en mi humilde opinión, o no son muy listos o mienten.
Saludos
Saludos
#34
Análisis y Diseño de Malware / Re: Mitos sobre los troyanos más utilizados
27 Febrero 2012, 01:36 AM
Es falso, al menos las versiones oficiales que conozco.
#35
Análisis y Diseño de Malware / Re: a que se referia Ferchu con redondear VirtualAddres?
7 Noviembre 2011, 04:11 AM
Si pones el ejecutable que obtienes o una captura de los datos de la cabecera y la tabla de secciones de LordPE (preferiblemente para no tener que revisar el ejecutable) seguro te podemos ayudar mejor .
Saludos!
.Saludos!
#36
Análisis y Diseño de Malware / Re: Rastrear troyano como???
7 Noviembre 2011, 04:09 AM
Lo más rápido creo que sería abrir el archivo con Olly (desde una máquina virtual obviamente), poner un BP en la función connect y a partir de la estructura sockaddr obtener la IP y puerto 
.
Saludos
.Saludos
#37
Análisis y Diseño de Malware / Re: Reto # Crear malware inofensivo
30 Septiembre 2011, 14:10 PM
Poco tiempo y muchos proyectos, a ver si sacamos tiempo y conseguimos organizar algo .
Saludos
.Saludos
#38
Foro Libre / Re: ¿Es legal vender mi troyano?
21 Septiembre 2011, 16:43 PMCita de: skapunky en 21 Septiembre 2011, 15:34 PM
Si vendes una herramienta como es una "herramienta de administración remota" debería conectarse con el permiso de la persona que esté detras del servidor, como el teamviewer. Este programa soicita un numero de conexión tipo contraseña entre las dos partes (cliente-servidor) donde por cada parte se introduce de forma manual y se conectan.
Todo lo que sean conexiónes sin permíso es un troyano, y si el programador dice lo contrario es que de seguridad no sabe una cagada porque es obvio lo que se puede llegar a hacer.
PD: No entiendo como la gente pierde el tiempo haciendo troyanitos, con una buena HAR tipo teamviewer se puede sacar dinero fácilmente y sin complicaciónes.
Tanto dinero no se sacará
. Si el ProSpy ese (que no es una maravilla vamos) vende las licencias a $200 seguramente saque más que si no fuera malware. Además, estando teamviewer con licencia gratuíta para uso personal dudo mucho que la gente se gaste el dinero en una de pago, ya que el rendimiento de teamviewer no es muy mejorable y funciones extras que puedes ofrecer son las del malware.Saludos
#39
Ingeniería Inversa / Re: Duda con VirtualProtect
7 Septiembre 2011, 20:13 PMCita de: .:UND3R:. en 7 Septiembre 2011, 20:04 PM
Ose simplemente puede ser cualquier address??, obviamente que esté en el executable file y no en tiempo de ejecución
Saludos
Más bien cualquier dirección en tiempo de ejecución, que tenga permisos de escritura.
Saludos
#40
Análisis y Diseño de Malware / Re: Reto # Crear malware inofensivo
5 Septiembre 2011, 01:15 AM
Bueno, no entré al foro en unas horas y veo que hay bastante aceptación, así que por mí adelante. En los próximos días (osea, antes de mañana) redactaré un borrador de como sería el torneo, se lo mando a Novlucker para el visto bueno y empezamos a inscribir a los interesados 
.
Saludos
.Saludos