Mensajes

Muy bueno el articulo, de veras. Felicitaciones.
Estoy teniendo un pequeño problema al intentar saltar a la direccion en memoria con

Código [Seleccionar] Expandir


_asm
{
    mov eax, AddEntryPoint
    call eax
}

o similarmente también:

Código [Seleccionar] Expandir

o
_asm
{
    mov eax, AddEntryPoint
    push eax
    ret
}

Me salta Violación de Acceso (0x0000005 Error), porqué?
Que pena si es un poco tarde para preguntar pero no he podido resolver el problemilla

Hm es raro, como lo estás probando? Quizás no tenga permisos de ejecución a donde estás saltando o no obtienes bien el EntryPoint. Intenta debugear y mira a ver que es lo que pasa. Yo tuve problemas en el segundo ejemplo que inyecta sin relocation table, necesité darle permisos de debug para que funcionara, estás probando el primero o el segundo ejemplo?

Saludos  

[Karcrack]

Yo aprendí mucho de usuarios que frecuentaban el antiguo "Troyanos y Virus" y ya no están activos. Me llevo bien con Karcrack, YST, Shaddy, RNA, y un largo etc...  .

Saludos

Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  .

El IAT ? y donde te metes el loader de windows ?

Puedes hacer un Loader en ASM que cargue la IAT como lo hace el de windows, en ASM son un puñado de bytes. Para que veas un ejemplo el packer armadillo creo que hacía algo parecido para dificultar que se debugee .

Saludos

[[PUBLI]

Aún no hice funcionar nada con el TLS  . En navidades tendré más tiempo y veré si  puedo hacer algo, mientras tanto si alguien tiene curiosidad y lo quiere intentar:

Código [Seleccionar] Expandir

http://isc.sans.org/diary.html?storyid=6655
http://www.cyberarmy.net/library/article/1653

[PUBLI]El Virus Metamorph inserta automaticamente TLS Callback's[/PUBLI]

Saludos

Se puede cifrar la IAT añadiendo un poco de código, o incluso moverla de sitio  . Además, en ese ejecutable en concreto, la "sección de datos" está pegada a la IAT, por eso no quise cifrar nada ahí, pero aún no cifrando la IAT y sí el resto de la sección de datos se irían la mayoría de las firmas  .

Enhorabuena, grandísimo trabajo .

Saludos

[esa sección]

una sección cifrada, ya sea con el metodo xor, ya es indetectablew por el antivirus no?

Con un simple XOR la sección no quedará FUD, tendrías que agregar una cifrado un poco más compleja, ahí puse un ejemplo de RC4, que deja esa sección sin firmas  .

Saludos

Tambien habría que tener en cuenta lo de hacer más visibles los subforos, poniendolos en una fuente un poco más grande y negrita o un icono de foro más pequeño, no se, se confunden con la información del subforo  .

Saludos

Me he quedado en un punto, aver si me lo podeis solucionar  

Estoy en el Olly y le he dado en el primer NOP y tengo que introducir linea por linea tu code en ASM, pero donde lo inserto? te dejo un pantallazo de lo que me sale, y si me pudes decir donde lo coloco y como accedo alli, lo más que he visto es "Add Comment" es ahi donde lo inserto? Desde ya gracias

http://img171.imageshack.us/img171/1483/olly.jpg


Saludos!

Doble click en el nop . Leéte algo obre Olly y ASM antes .

Saludos

No puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes  . Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución  .

Saludos