Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - [Zero]

Páginas 1 ... 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 ... 72

#451

Abril negro / Re: Dioxis 5.2 Proximamente para Abril Negro

8 Marzo 2010, 21:30 PM

A la GUI métele el manifest de XP, puedes añadirlo con el ResTuner por ejemplo, y se verían mejor los botones. También quitaría el logo de Dioxis de la ventana principal, dando más espacio para la lista de usuarios conectados, lista que también debería de ocupar todo el ancho de la ventana (para mi gusto). El botón escuchar es un poco inútil, ya que siempre querrás que el ejecutable esté escuchando, y el botón cerrar ya tienes el de la ventana. En definitiva, yo no cargaría tanto la ventana principal, le dejaría un estilo más 'flat', las interfaces sencillas suelen gustar (véase google

).

Para funciones, pues no sé, está bien que trates de pensar las funciones y no hacer lo mismo que hacen todos los RAT's, así salen las buenas ideas. Yo te recomendaría descartar TODAS las funciones que alerten al usuario, ya sea poder mover el ratón, abrir cd's y cosas así, haz tu servidor lo más invisible(

), liviano, rápido y estable como sea posible.

Saludos

#452

Ingeniería Inversa / Re: ¿Si me inyecto en otro proceso, puedo ejecutar funciones de este?

22 Febrero 2010, 21:19 PM

Si, si te inyectas puedes ejecutar funciones de éste, pero ojo como lo haces, ya que si no tienes cuidado seguramente provocarás algún error. Lo ideal sería que te inyectaras, pararas la ejecución del hilo del proceso principal (SuspendThread), haces un call directo (sin crear un nuevo hilo) a la función que quieres ejecutar, y cuando retorne, reanudas el hilo que pausaste (ResumeThread). No se exactamente que pretendes hacer, pero supongo que leer sobre API Hooking tambien te vendrá bien.

Te dejo algunos links:

Código [Seleccionar]


http://foro.elhacker.net/hacking_avanzado/paper_inyecciones_dll-t159111.0.html
http://mazard.info/tutos/apihooking.pdf
http://foro.elhacker.net/analisis_y_diseno_de_malware/inyeccion_de_archivos_en_un_proceso_1_proceso_2_ejecutables-t280471.0.html
http://foro.elhacker.net/analisis_y_diseno_de_malware/srccasm_clshookapi-t281292.0.html
http://msdn.microsoft.com/en-us/library/ms686345(VS.85).aspx
http://msdn.microsoft.com/en-us/library/ms685086(VS.85).aspx
http://msdn.microsoft.com/en-us/library/ms679362(VS.85).aspx

Saludos

#453

Ingeniería Inversa / Re: WS2_32.dll

20 Febrero 2010, 15:04 PM

Debería, sinó no te queda otra que atachear el proceso e investigar que clase de defensa tiene para poder hacerle bypass. Que SO estás utilizando?

Saludos

#454

Ingeniería Inversa / Re: WS2_32.dll

20 Febrero 2010, 14:39 PM

Ya descartaste el API Hooking? O necesitas redireccionar todo lo que envíen todos los procesos?

De no querer usar el API Hooking, lo más fácil es que crees una dll que exporte las mismas funciones que WS2_32, y las que quieras dejar como estaban en la original, simplemente las defines como un salto a la api de WS2_32, y las que quieras modificar, pues le pones lo que tu quieras, sería algo así como el PEB Hooking pero en disco

.

Saludos

#455

Ingeniería Inversa / Re: [Ayuda cifrado] Analizando Poison Ivy

19 Febrero 2010, 18:51 PM

Código [Seleccionar]

http://en.wikipedia.org/wiki/Camellia_(cipher)

Es posible

. No se nada de criptografía, pero por lo que ahí pone, me cuadra, pues es open source y por lo de:

CitarCamellia is one of the ciphers that can be completely defined by minimal system

Lo que cuadra bastante con el tipo de software que es. Supongo que conociendo el pass la cifrado se puede romper no?

Gracias Littlehorse

Edito: Buscando información sobre Camellia:

Tanto debugear y no se me ocurrió preguntarle a google

.

Tema solucionado

#456

Ingeniería Inversa / Re: ¿Que son DWORD FS y <TSLindex>?

19 Febrero 2010, 18:44 PM

Bueno, el registro fs en windows apunta a la estructura Thread Information Block (TIB), y en la posición 2C de esa estructura, lo que sería fs:[2C] apunta al TLS Array. No se si sabes lo que son los TLS Callbacks, te dejo un poco de documentación:

Código [Seleccionar]


http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653

Si vas a debugear un TLS Callback ten cuidado, pues creo que hasta la v2, el olly no los pausa, así que se ejecutarían mientras el debuger carga el exe (es bastante usado el malware

).

Saludos

PD: Supongo que con TSLindex te referías a TLS index

#457

Ingeniería Inversa / [Ayuda cifrado] Analizando Poison Ivy

19 Febrero 2010, 18:18 PM

Bueno, llevo ya invertido bastante tiempo intentando sacarle las entrañas a la última versión del poison, la 2.3.2, tengo ya casi todo el código comentado del serverbase, hasta que conecta y pasan cosas mágicas. Bueno, la cosa es que di con la rutina que utiliza en servidor y el cliente para cifrar, y no consigo identificarla, pues no se nada de criptografía $:-\$ . Conozco lo que hace cada instrucción, pero la cifrado en su conjunto no se a que clase de algoritmo pertenece. Necesito saber cómo cifra los datos esa rutina para poder sniffear y modificar los datos que envía, y como voy a hacerlo en C, si no consigo encontrar que algoritmo sigue tendré que copiar los bytes directamente a un buffer y llamar al buffer, sin conocer el algoritmo, algo que me gustaría conocer

. Además, la rutina de cifrado es relativamente larga y bastante sistemática, lo que me hace pensar que no es un algoritmo casero, aunque quizás esté equivocado. Solo necesitaría saber si alguien puede identificar el algoritmo a simple vista y corresponde a un algoritmo conocido o por el contrario es una cifrado "casera":

La llamada:

La rutina:

La función marcada como ??? a la cual llama la rutina anterior:

Tambien sé que debe de ser una cifrado que utiliza pass, el pass de conexión

.

Saludos, y gracias por anticipado

#458

Abril negro / Re: Sobre abril negro

9 Febrero 2010, 19:38 PM

Cita de: Novlucker en 9 Febrero 2010, 19:24 PM
Voy a hacer una pregunta relacionada al tema que me gustaría que me contestarán los que se pasen:

Ya sabemos que la mayoría pueden crear tools "oscuras" como las que se presentan en "abril negro", vease RATs, virus, etc etc.

Ahora, ¿a alguno se le ha ocurrido una idea para una tool contraria a eso? es decir, una tool de seguridad?, algo como lo fue Sacacorchos o Pextractor?

Saludos

Bueno, yo creo que no he hecho aún nada del bando contrario, salvo chapuzas de uso personal. Tenía en mente hacer un miniantivirus sólo con la protección proactiva basándose en hooks, pero en ring3 los hooks afectaban bastante al rendimiento del pc( además de que se pueden saltar con sólo una mirada al olly

) y en ring0 aún no tengo ni idea de programar. Además, es más entretenido hacer cosas del "bando malo", pues suelen ser las que presentan mayor reto, si te fijas, la mayor parte de la funcionalidad del antivirus son el escaneo de firmas que no tiene ciencia ninguna y la proactiva de hooks en ring0, que supongo que usa vez te manejas en ring0 no tiene la más mínima dificultad cambiar los punteros que quieres de la SSDT. Lo único que a mi parecer puede tener de entretenido la programación de un motor antivirus es el sistema de heurística, pero eso lleva bastante tiempo, y es más cosa de estar horas detrás del debuger que de codear en si.

De todas formas, en éste "Abril Negro", no participaré con una "tool oscura", ni siquiera con una tool, más bien es algo relacionado con el "lado bueno"

.

Saludos

#459

Seguridad / Re: [PAPER] Detección y eliminación de Malware

9 Febrero 2010, 18:47 PM

Cita de: Novlucker en 9 Febrero 2010, 11:20 AM
Hacker_Zero, supongo que lo dices por las muestras no?

A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea

Saludos

Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición