Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Karcrack

#451
CSocketPlus o bien usas directamente el Winsock, ya que si es desde el cliente no hay problema con las dependencias.
#452
43H4FH44H45H4CH49H56H45H a ver si tengo un rato durante la semana y te dedico un CrackMe :laugh:
#453
http://pastebin.com/scrZKnEt
Esta sin terminar y tiene algun error de logica si no me equivoco... pero creo que te sobra como orientacion

PD: Esta basado en la tecnica de LeandroA:
http://foro.elhacker.net/programacion_visual_basic/keylogger_otro_metodo-t264525.0.html
#454
Cita de: 43H4FH44H45H4CH49H56H45H en 20 Marzo 2011, 15:13 PM
Que mejor si haces un Crack Me y vemos que tan dificil puede ser quitar esta u otra protección.
No tiene sentido hacer un CrackMe si ya sabes la tecnica que utiliza para protegerse... la dificultad de este metodo reside en que es desconocido, por lo tanto tu nunca sabrias en que parte del codigo se hace la busqueda del OllyDbg... asi que no podras parchear :)
Respecto a las acciones... imagina que infecto el calc.exe inyectando codigo en el binario original... añado la comparacion y si no estamos en el olly busco otros ejecutables e infecto, pero si estamos en el olly ejecuto el calc.exe con normalidad...
#455
No tiene ningun merito quitar la proteccion si esta te avisa de que te ha detectado... pero imagina que dependiendo de que te detecta hace unas acciones u otras... Ahi ya tendrias mas dificil (Sin saber que con esa llamada se puede detectar) encontrar que esta pasando...
#456
@philipjfry99:Maybe in 64bits the PEB structure differs, I can't reproduce the error now so I'll try
to fix it later.
#458
Por si a alguien le interesa el código en ASM que utilicé en los tests:
Código (asm) [Seleccionar]
Main:
        cdq
        mov     edx, [FS:edx+$30]
        mov     edx, [edx+$10]
        mov     edx, [edx+$08]
        dec     edx
        jnz     Sandboxie
        ;Codigo
Sandboxie:
        ret   
#459
Código (vb) [Seleccionar]
Option Explicit
'NTDLL
Private Declare Function RtlGetCurrentPeb Lib "NTDLL" () As Long
'MSVBVM60
Private Declare Sub GetMem4 Lib "MSVBVM60" (ByVal Addr As Long, ByRef RetVal As Long)

'---------------------------------------------------------------------------------------
' Procedure : AmISandboxied
' Author    : Karcrack
' Date      : 13/03/2011
' Purpose   : Know if we are running under Sandboxie
'---------------------------------------------------------------------------------------
'
Public Function AmISandboxied() As Boolean
    Dim lUPP        As Long         '&RTL_USER_PROCESS_PARAMETERS
    Dim lFlags      As Long         'RTL_USER_PROCESS_PARAMETERS.Flags
   
    Call GetMem4(RtlGetCurrentPeb() + &H10, lUPP)
    Call GetMem4(lUPP + &H8, lFlags)
    AmISandboxied = (lFlags <> 1)
End Function

Bien simple, por alguna razon desconocida PEB.RTL_USER_PROCESS_PARAMETERS.Flags es distinto cuando esta siendo ejecutado dentro de Sandboxie ;)
#460
Cita de: Mr.Frog™ en 12 Marzo 2011, 19:33 PM
Lo siento tienes razón, lo planteé mal entonces... :silbar:
Según la tabla ascii :)

DoEvents! :P