Mensajes

hola x64Core no es un exe el primero me marca error es una dll.

si es una dll como accedo a ella

saludos boy a descargar el segundo a y perdona pero soy algo rebruto

Yo estoy suponiendo que la gente que pide malware sabe como manipularlos, una dll simple se pone un bp en el punto de entrada
con la ayuda de un cargador

Luce como que es el alineamiento, que compilador utilizas?

Aprende el protocolo HTTP y sockets por supuesto eso es todo lo que se necesita.

hola x64Core gracias por la muestra ya la descargue.
Con respecto al recycler y al amvo pues nose alguna muestra que sea interesante ya que no mese las diferentes variantes.

Saludos flamer

Zeroaccess, interesante tecnica usada por un worm, reveton desde los servidores de los "chicos malos"

http://www.sendspace.com/file/ss0bb2
misma contrasena

hola a todos.
Hago este tema para ver si me pueden mandar una muestra de alguno de estos virus por privado.
Ya que quiero analisar un poco estos bichos y pasar el rato, si pueden de los tres y mas el policia si lo tienen.

Bueno saludos flamer y me los envian por privado por que no creo que dejen mostrar los link aqui en el hilo

Respecto al recycler y amvo, publica el hash. recycler no es un nombre realmente en el cual se pueda
encontrar un malware en particular, hay millones de malware que lo usan podria postear un malware del 2005.
Que version de Amvo,etc.

Estamos en la sección de analisis de malware, supongo

malware policia, su alias: Reveton
http://www.sendspace.com/file/0bzdeo

contrasena: malware

Ademas de no solo quien fue el proceso padre de tu aplicacion sino tambien puede comprobar el codigo cualquier proceso que
tengo un handle al proceso con los permisos necesarios y usar GetExitCodeProcess
http://msdn.microsoft.com/en-us/library/windows/desktop/ms683189(v=vs.85).aspx

Quiero decir 3 son documentados por intel. fueron documentados a-nos despues ya que tengo los viejos manuales de intel y
aun no estaban, esto esta disponible desde el a'no 2000.
Hasta ahorita 3/7 Antivirus vencidos, no mencionare nombres ya que despues vienen llorando. pero para tener algo en mente:



y otro famoso vencido por SSE 4  
malware empaquetado con simple encriptacion, injeccion ha sido existosa
Este ultimo dependiente de hardware por supuesto, pero viene ser muy util

Pense que estabas codificandolo,

Primero el codigo en ensamblador es para generar una entera imagen PE, lo que necesitas es un tipo de shellcode, un codigo independiente,
sin cabeceras , y que pueda valerse sin la informacion de las cabeceras y directorios de una imagen PE. en tu codigo usas importaciones directas
del directorio lo que necesitas es obtener los puntero a la funciones escaneando la tabla de exportaciones del modulo, este articulo lo explica bien
http://blog.harmonysecurity.com/2009_06_01_archive.html
tambien vi algunos codigos aqui en el foro.

notepad con una nueva sección de tamano 0x300 y aligneado a 0x400 para que puedas verificar como funciona lo de la alineacion.
http://www.sendspace.com/file/g3ke1a

el campo AddressOfEntryPoint de una imagen PE, es el que indica donde se encuentra la primera instruccion del ejecutable, este es
una direccion virtual. yo he agregado unos NOPs luego un ret, lo que debes hacer es agregar tu codigo en tal punto.

Debido a que yo no se si esto es para aprender como funciona, para usarlo en malware ,etc. mas cosas pueden ser hechas, por ejemlo
si es para malware entonces debes de deriguir al original punto de entrada para que todo funcione bien, de esta manera primero se
ejecutara tu codigo luego se redireccionara al original punto y el programa se ejecutara normalmente.

Todo esto es explicado en el enlace al manual que deje, y es posible que quieras mirar el proposito de BaseOfCode de una imagen PE,
No lo se depende de lo que quieras.

Ademas, hay muchas maneras de hacer este tipo de cosas.
para malware agregar una sección de esta manera no es nada  y muy sospechoso, yo prefiero alargar la sección de codigo,
no cambiar el punto de entrada, en lugar buscar por un conjunto de instrucciones que nos ayude a ocultar la infeccion, por
ejemplo un JMP directo o indirecto, CALL lo mismo que JMP, RET, o algun salto condicional que no sea corto y redireccionarlo a
nuestro codigo, luego restaurarlo. 

es que agregar secciones ya lo hice, solo me hace falta lograr ejecutar opcodes

miren esta imagen de ferchu, elimina 28 hexadecimales y se nota en la imagen, pero luego lo alinea, el problema es que esta muy chica la imagen y no alcanzo a ver con que alinea los demas hexadecimales, en la parte de abajo se ve una linea morada, donde se muestra que esta alienado

http://s1.subirimagenes.com/otros/368697modificado31.jpg

mi problema no es que quiera que me expliquen todo el formate PE, solo esa parte de los 28 hexadecimales, eso es todo

Yo nisiquiera me tome el tiempo de mirar el manual de ferchu, pero lo que yo supongo es que quieres hacerlo de la forma correcta y si
lo es posible optima. Y si ya has podido agregar la sección solo cambias el punto de entrada y luego debes de redirigir al original.
Pueda que quieras mostrarnos el codigo que llevas lo voy a arreglar 

Ellos fueron documentados a'nos despues, el descubrimiento de estos opcodes no es reciente