Mensajes

lo q hago es lo mas basico pongo un separador la informacion cifrada y luego otro separadaro con la key y por ultimo un serparador mas ,,ojo q ya me detecta el stub sin la informacion agregada (seguro q el ecryptado tmb detecta pero ya el stub es detectado)

Esa técnica es EOF, es decir, que añades la información al final del fichero (End Of File)... Y es una técnica muy detectada...

Pero bueno, si te detecta ya el Stub sin configurar es cosa de heuristica.. es decir, que debes cifrar tus APIs... Doy por hecho que lo estas haciendo en VB6... Usa el buscador hay muchos códigos sobre el tema...

En ese caso es el sistema que utilizas para almacenar la información en el stub... Cual usas? EOF?

Es una detección genérica del Avira... Es un antivirus muy paranoico...

Lo más probable es que te detecte una cabecera PE de más... o tal vez tengas el PE sin alinear...

Ambas cosas falsas... son rumores absurdos...

Ni son la misma persona ni las versiones oficiales vienen con regalito

DLL Cloacking se llama la técnica... Consiste en modificar las estructuras del PEB que indican las DLLs cargadas en el proceso... linkeando la estructura de la DLL anterior a tu DLL a la próxima DLL... de esa forma la estructura con la información de tu DLL no esta linkeada y no se puede leer siguiendo los punteros FLINK/BLINK...

Este código es bastante claro:

Código [Seleccionar] Expandir

http://r00tsecurity.org/db/code/151
Siempre puedes buscar más información teórica en Google

No he analizado ningún formgrabber en particular... supongo que los chapuzas capturan las teclas... pero según tengo entendido los buenos instalan una extensión en el navegador (normalmente en el IExplore) y desde ahí pueden trabajar perfectamente...

Otras formas más elaboradas sería capturando el tráfico de la red (siempre que el formulario no fuese por https) o bien secuestrar la página modificando el fichero hosts para que rellenen un formulario propio que sea idéntico al real y luego redirigir al original para que el usuario no se percate...

Seguro que hay más formas, estas son las que se me ocurren ahora... el limite es la imaginación

Veamos... el antivirus portable únicamente detectará los ficheros que tú le digas que analice... es decir, que aunque lo tengas abierto no te protege de ningún malware que ejecutes

Los AVs portables que yo he visto se utilizan única y exclusivamente para el análisis estático de ficheros... Ya que para una protección completa se necesita trabajar en ring0, es decir, instalar drivers y esas cosas...

[+Info:]

Para abrir las imagenes censuradas siempre puedes abrir con otro programa de Adobe vinculado al Photoshop (como el Image Ready) y le das a "Abrir con Photoshop" y se abre sin problema...

+Info:

Users of recent versions of image editors, such as Adobe Photoshop or Paint Shop Pro, discovered that these also refuse to print banknotes. According to an article in Wired magazine, the banknote detection code in these applications, called the Counterfeit Deterrence System (CDS), was designed by the Central Bank Counterfeit Deterrence Group and supplied to companies such as Adobe as a binary module. However, experiments by Steven J. Murdoch and others showed that this banknote detection code does not rely on the EURion pattern.[6] It instead detects a digital watermark embedded in the images, developed by Digimarc.[7]

Código [Seleccionar] Expandir

http://en.wikipedia.org/wiki/EURion_constellation#Counterfeit_Deterrence_System

El problema es el método que utilizas para unir los ficheros al stub... Muchos AVs utilizan la heuristica para detectar comportamientos anormales en ejecutables... por ejemplo un comportamiento anormal sería que un ejecutable tenga otro ejecutable pegado al final del mismo (appending)... Para evitar este tipo de detecciones heuristicas lo que has de hacer es cifrar los ficheros que unas al Stub y agregarlo con una técnica diferente...
Sospecho que la técnica que usas es "pegar" el fichero al final del stub... si haces esto debes reparar la estructura PE para que incluya el nuevo fichero como si formase parte del Stub.. Así el AV cuando busque ficheros "pegados" al ejecutable no verá nada porque el fichero ya forma parte de este