Mensajes

[@Edit:]

los nombres de la funcion como tal en el codigo no... eso no queda al compilarse hasta donde se, si no la ing inversa de los programas sería mucho más facil, me parece...

Yo lo compilo con visual studio y si que quedan los nombres tal cual con sus argumentos.

entonces te tocará combiar de estraégia y empaparte de que forma analizan los AV un fichero, cada cual a su forma, a parte de ejecución interna en sandox, depende del AV...
Saludos.

Como consigo esta información, la manera que lo analizan.

He analizado mi archivo con virus total y no me lo detecto ninguna pero en tiempo de ejecutacion si.
Es bueno utilizar virus total ya que subes tu archivo a su base de datos y supongo que sera utilizado por algunos antivirus ?

Antes usaban una lista de firmas pero creció tanto que se hizo inviable tener que pasar millones de firmas a cada archivo. Entonces hicieron una especie de imagen en función del comportamiento.

Lo que no tengo claro si ha quedado fifty-fifty un poco de aquí y de allá es decir firmas e imagenes.

Lo de ofuscar es buena idea.

Ofuscar en plan de llamar a funciones a parte para realizar diferentes tareas, cambiar el lugar de las lineas de código ? A que te refieres?

Que es fifty-fifty  

Ahora voy a quitar partes del código, la función de inyecta para ver que es lo que hace que el antivirus salte a 20

@Edit: Vale ya tengo la parte del código que hace que el antivirus salte. Es la copia del archivo exe a la primera carpeta de appdata que encuentre y en la que se puede copiar. Ahora intentare cambiar partes a ver que tal y si no lo publico aquí.

[string]

Quita el 128

Código (cpp) [Seleccionar] Expandir

printf("%s\n", ficheros[i][128]);

Porque no utilizas string http://www.cplusplus.com/reference/string/string/?

En plan:

Código (cpp) [Seleccionar] Expandir

vector<string> nombres = {"hola","Maria"};
nombres[3] = "Jose";
for(int i =0;i<nombres.size();i++){
     printf("%s\n",nombres[i]);
}


Código (cpp) [Seleccionar] Expandir


char Jose[128] = "Jose";
char nombre[MAXNOMBRES][128] = 0;
strcpy(nombre[0],Jose);
strcpy(nombre[1],Maria);
...


Con vectores es mas fácil y no importa el tamaño

Hola estoy creando una especie de troyano keylogger y algo mas para probar y el antivirus me lo detecto en tiempo de ejecutacion antes de haber lo completado  

Bueno tengo funciones que se llaman algo por el estilo de infect. No se si es algo estúpido pero no se como analizan los ejecutables. Analizan partes para ver si se parecen a otros virus o como ?

Alguien me puede orientar a cerca de como analizan los antivirus los ejecutables ?

Saludos

@Edit: Mi programa se autocopia, autoejecuta al inicio cambiando el registro, crea archivos de configuración con nombres codificados, se conecta con un servidor en modo de http con el puerto 80 para obtener información y recibir los comandos, captura la pantalla y las teclas con hook globales. Los dos últimos no están del todo listos y probé con quitar los para comprobar si es por esto pero no . Creo que es por la función infect.

Yo utilizaría vectores http://www.cplusplus.com/reference/vector/vector/ aunque puedes usar char ** pero tienes que saber el tamaño exacto.

Código (cpp) [Seleccionar] Expandir

vector<char[120]> nombres;
nombres.push(nombre);


No mandes mas mensajes privados a gente aleatoria.  

Saludos

Hola necesito un hosting gratuito donde poder subir mi programa c++ que va esperar conexiones mediante socket y les va contestar pudiendo guardar archivos. Nada mas.
Si existen servidores que te permites eso me pueden recomendar alguno?

Saludos

[data->flags]

Luego lo hice con AND pero quería probar otra cosa que no tiene relación.

Un int (Dword) son 4 bytes - 32 bits, y tu estas moviendo a la izquierda 129, como veras eso se pasa de los 32 asi que todo sera 0.

Vale y porque si utilizo para mover el contenido data->flags que en el debugger de pone que vale 129 me devuelve 2 ?

[i]

En realidad lo que quiero es comprobar si esta activo el 5 byte que ya lo hice de otra forma pero el problema esta en que el i es diferente dependiendo si uso data->flags que vale 129 y lo pongo como constante y no se porque.

Hola estoy intentando capturar combinaciones de teclas con un hook en windows y me pasa esto:

Código (cpp) [Seleccionar] Expandir

KBDLLHOOKSTRUCT *data = (KBDLLHOOKSTRUCT*)lparam;
int i = 1 << data->flags;
si pulso Alt Gr i contiene 2 y data->flags 129

Pero luego aquí

Código (cpp) [Seleccionar] Expandir

KBDLLHOOKSTRUCT *data = (KBDLLHOOKSTRUCT*)lparam;
int i = 1 << 129;

i contiene 0 
data->flags es un DWORD (unsinged long) por esto probe hacer una conversión aunque creo que da igual.

Código (cpp) [Seleccionar] Expandir

KBDLLHOOKSTRUCT *data = (KBDLLHOOKSTRUCT*)lparam;
int i = 1 << (DWORD)129;
El i sigue 0.

Porque pasa esto?

Saludos

Ahora veo lo de SFTP pero ahora mismo estaba probando con openssl y se me ocurrió porque no generar una clave, que ya tengo privada y publica, luego cifrar la contraseña con esa clave desde php con openssl_public_encrypt y luego en c++ desencriptarla con alguna librería de ssl teniendo la clave privada guardada en el exe ?

@Edit: He visto que sftp no esta disponible en hostinger así que no creo que sera una alternativa.