Mensajes

Son directivas propias de cada ensamblador, el primero es para FASM el segundo es para MASM32.
Lo que debes hacer para saber lo que significa cada directivas es simplemente leer algun libro o manual del ensamblador.

Hola, estoy desarrollando un virus y necesito saber como añadirlo al final de la ultima sección. Estoy tratando de seguir los pasos que dice está guía: http://vxheaven.org/lib/static/vdat/tuappend.htm. Pero no me ha servido.

Por favor si alguien me puede decir una guia (preferiblemente muy detallada si es posible) de como lograrlo. No he podido lograr infectar un ejecutable. Siempre mi virus lo corrompe. Por favor, ayudenme. Puedo postear parte del source si es necesario.

Gracias de antemano

Seguro, sin haber visto el código o al menos los ejecutables de prueba no podriamos decir adonde esta el problema no?
Tutoriles hay un monton en ese sitio.

Pido disculpas si ofendi , simplemente es mi opinion y la sigue siendo. ¿Si opino diferente soy el script-kiddie par excellence?Gran logica. Ignorare el tema para no generar conflictos ni desviarlo.

Saludos.

La misma logica para decir que programar crypters no es etico, joven.


Y por cierto, los crypters de 5 euros deben ser de esos incompetentes programando malware en VB6/.NET/Java.
Los buenos crypters se venden en 10-40 usd por cada archivo cifrado o un servicio semanal 200-400 usd en foros privados.

Diré mi opinión, he esperado días a ver como evolucionava éste tema y ahora que se está convirtiendo en un tema "Como ganar dinero" daré mi opinión.

Hacer un crypter FUD no es una gran proeza, no le den tantas vueltas a algo que hace centenares de personas al dia. Espero que no se convierta en un hilo de promocion para vender copias del crypter a 5 euros.

skapunky, podes publicar algunos de los centenares de crypters que evadan Antivirus como Kaspersky, BitDefender, Norton?
Sino pues lo unico que has visto son esos crypters que dicen ser 'FUD scantime and runtime' pero lo unico que muestran es un
resultado de analisis estatico 0/37 - 0/55. De esos puede programarlo cualquier personas: ir a google escribir algo como 'crypter
source code', copiar y pegar ese código prehistorico, compilar y listo ya tienen su propio crypter.

Acerca de ese tal @Nitimur In Vetitum, ignorenlo, él debe ser sólo un scriptkiddie que no tiene el valor de usar su propia cuenta
para publicar sus chorradas.

Ida decompila; genera pseudocódigo. pero conseguir el fuente original es imposible.

[@Vaagish]

Es un palo tener que instalar esos AV xD, bueno esas pruebas las hace el usuario @Vaagish, creo recordar de que de dijo que el AVG no lo detecto.

Como dije anteriormente, simplemente hera una cosa didactica y de estudio, nada mas, pero ahora salio el tema de que hay gente que se lucra con estas cosas, y me parcecio buena idea, no hacerme rico pero sacar algo al menos.

La arquitectura fue probada en x86 y x64 y bien, version del Windows probemos el XP y el Seven y todo perfecto.

El crypte en si solo son 20 lineas de ASM como diije, y un simple cifrado XOR. Pero vamos que no es el tipico.

Código (asm) [Seleccionar] Expandir

leal EPO, %eax
movl $EPO, %eax

Un saludo.

Tengo algunos programas para hacer pruebas se los mando por MP si gustan.

Esta bien, probaremos el Bitdefender, alguno mas?

Kaspersky, Bitdefeder, Norton, AVG, Avast, DrWeb, y pueda que olvide uno pero ellos son para detección el tiempo de ejecución.

Y despues de eso, seguramente que ya sea FUD, pero el code no le interesa a la gente no? Quieren un crypter de un click xD.

Un saludo.

Yo no soy quien para definir eso, no sé ningun detalle acerca del metodo usado: dependiente de architectura, version de Windows, etc.
Ustedes deben de tener claro para qué será usado el código, pero si ganar dinero quieren, hagan un crypter y vendando es lo unico que puedo decirles.

[GriYo/29A]

Pues entonces hay muchos equivocados.

O sería posible que GriYo/29A le haya puesto ese nombre porque le gustó?

Esa tecnica la sigo conociendo como inline-patching, o como le llamaría GriYo/29A: Entry-Point Obscuring. 

Saludos!

Si se habla acerca infección de ejecutables, ese es el punto aquí.

Hola!

Bueno, anteriormente te di un link con ideas básicas, pero ahora te voy a dar una idea un poco mas concisa:

Para insertar tu virus en el exe, puedes agregarle una sección al mismo (busca cómo agregar secciones al un exe pe, hay muchos ejemplos).
Luego de insertar la sección, le colocas el código de la viruta dentro y redireccionas el EntryPoint (EP) del EXE al punto de entrada de tu virus. Al final de tu virus, deberías tener un JMP al EP original, asi el ejecutable funcionaría como si nada hubiera pasado.

Esta técnica la conozco como inline-patching y hay muchas variantes sobre la misma.

Para que tengas algo con lo cual empezar a ver el tema: existe una aplicacion llamada "Topo", la cual te permite insertarle a un ejecutable una sección y redirigir el EP a la misma. Puedes usar la herramienta para analizar con un editor hexa los cambios que hace.
Aunque tambien podría destacar que, si el codigo del virtus es pequeño y el ejecutable tiene espacio libre al final de la/s sección/es ejecutable/s, no sería necesario agregar una sección, sinó copiar el virus al lugar libre y redireccionar el EP al mismo.


En fin, hay muchas variantes en este tema, como habrás visto en el link que te pasé anteriormente.

Saludos!

Lo que estas hablando es acerca de EPO: http://vxheavens.com/lib/vgy01.html. no tiene nada ver con 'inline-patching'.

Si quieren saber si es completamente FUD debe de probarlo con todos los Antivirus más decentes que existen: Kaspersky, Bitdefender, etc.
que evada el Kaspersky no quiere decir que lo sea al 100% pero lo que si estan seguros es que otros como Avira, Nod32  no tendran problemas
en la deteccion en tiempo de ejecución.