Mensajes

Mejor usa algun troyano/bot que tenga incluido el keylogger como darkcomet, cybergate, etc.

¿Que hay de google? Sin nombre del autor o alguna otra referencia dificil saber cual (José María Rodríguez Corral, José Galindo Gómez?)

Hola estoy probando una cosa, un experimento y quiero para mi antivirus avg 2015 pero esta claro que no me deja así de simple. Con permisos de administrador y TerminateProcess() en windows no lo consigo. Ahora supongo que con permisos de system si se cerrara. Se que los antivirus utilizan métodos de rootkit para evitar que pasen estas cosas o me equivoco? Si es así como se cierra y como consigo permisos system si se puede?

Saludos

Para terminar Antivirus desde modo usuario que usen auto protección con un driver las unicas maneras son por medio de alguna llamada del sistema que no sea monitorizada por este o mediante una vulnerabilidad ya sea en el Antivirus o en el SO.

Hola, bueno es que me he estado preguntando qué pasa exactamente al pasar un parámetro como este:

Código (cpp) [Seleccionar] Expandir


MB_ICONINFORMATION | MB_OK


Por ejemplo:

Código (cpp) [Seleccionar] Expandir


MessageBox( hwnd, (LPSTR) "Function Not Yet Implemented.",
                              (LPSTR) szClassName,
                              MB_ICONINFORMATION | MB_OK );


¿Qué sucede exactamente? No sé si me logré explicar con exactitud, pero es que he visto muchos códigos fuentes y algunos reciben ese tipo de parámetros; por ende, supe que será de utilidad saberlo con exactitud. Espero respuestas, saludos.

Nada más son valores constantes que se pasan a la función usando el operador | y combinar todas las posibles banderas de entrada,
Luego en la función suelen usar el operador & para verificar posibles banderas y así determinar como propiedades/caracteristicas/comportamiento
debes ser usadas en el proposito de la función, en este caso el mensaje que sera mostrado en pantalla:
if(Value & MB_ICONINFORMATION)
{
     ....
}
y así.

normalmente usa el macro "define" para definirlo como constante y suplanta un valor numerico, aqui ej del messajeBox en msdn fijate que en la lista está el nombre y un valor en hexadecimal (0x....) pudieras perfectamente colocar ese valor, solo que se definen para que sean más "humanos"

engel lex, eso no tiene nada que ver con la pregunta que hizo el usuario, él no pregunto acerca del uso de define ni algo
que ver:

Hola, bueno es que me he estado preguntando qué pasa exactamente al pasar un parámetro como este:

¿Qué sucede exactamente? ...

Hola necesito algun crypter para spynet , no encuentro en internet ya que la mayoria estan infectados , alguien tiene alguin crypter gratuito que me pueda dar sin ningun tipo virus para spynet

Todos los crypter publicos no te serviran para nada, la mayoria o todos no hacen nada más que evadir firmas de AVs y además
de todo por ser publico los hace facilmente detectables ya que son faciles de analizar para los AVs.

quieres que te repita lo del ultimo tema que te cerraron?

por otro lado básicamente cualquier crypter será detectado como virus porque el en si mismo es lo que busca el av en un programa -.- si no tienes ni la menor idea de lo que haces, primero deberías aprender que es, luego hacer

engel lex, ¿Porqué habrian de cerrar este hilo?

Usar un ofuscador(crypter) decente.

Y has intenado en localhost?

Ah, ¿Será que alguien me puede aclarar si los prefijos cumplen el siguiente orden?

El orden de los prefijos no importa.

¿Será que alguien tiene un fragmento de codigo, que sea capaz de reconocer cuando el primer byte es un prefijo o un opcode? Gracias.

Simplemente hace un comparación del primer byte contra los prefijos conocidos, si es un prefijo guarda la información y pasa al siguiente
byte, verificar el maximo numero de prefijos, luego empezar a verificar los opcodes.

Además creo que un buen desesamblador deberia tener como entrada el modo en el que se encuentra la CPU asi tratar de mejorar el resultado, aunque para ofuscación de código suele usarse instrucciónes privilegiadas para joder a los desesambladores.

algunas instrucciones de x86 y x86-64 son codificadas de la misma manera, son pocas y se podria saber el modo en el cual se encuentra ejecutando el contexto sin necesidad de comparar usando push's y pop con un solo bit establecido para luego usar popf si la bandera es establecida entonces esta en 32-bits. aunque la verdad tambien me parece inutil (' modo en el que se
encuentra el procesador en ese punto')

El archivo bitsadmin.exe es legitimo, malware descargando, 'dropeando' archivos legitimos no es nuevo, lo hacen para
confundir el analisis o para evadir el analisis de algunos Antivirus que paran de analizar cuando verifican algun archivo legitimo
o que este firmado tambien para confundir al usuario.