ghostwriting? cadenas que no son detectadas

Iniciado por 85, 24 Febrero 2013, 01:02 AM

0 Miembros y 1 Visitante están viendo este tema.

85

Estaba mirando cuando uno desensambla un programa en c++, no protegido obviamente.... no hablo de un editor hexadecimal ni de ollyDBG, un desensamblado normal que muestre el código  ensamblador.
Algunas strings son detectadas y otras no, en realidad no se si esto se llama ghostwriting porque parece que ghostwriting es otra cosa aparte.

Suponiendo el siguiente código que muestra algunas de las formas más conocidas de declarar cadenas:


//
// By 85
// elhacker.net
// 2013
//

#include<windows.h>
#include<stdio.h>

void Test(){
char test1[] = {'o','c','h','e','n','t','a','y','c','i','n','c','o',0};
char test11[] = {'o','c','h','e','n','t','a','y','c','i','n','c','o',0};
char test111[] = {'o','c','h','e','n','t','a','y','c','i','n','c','o',0};
char test1111[] = {'o','c','h','e','n','t','a','y','c','i','n','c','o',0};
char test11111[] = {'o','c','h','e','n','t','a','y','c','i','n','c','o',0};
char testA[256];
strcat(testA,test1);
strcat(testA," 85\0");
printf(test1);
printf("\n\n");
char test2[] = "ochentaycinco1\0";
char test22[] = "ochentaycinco2\0";
char test222[] = "ochentaycinco3\0";
char test2222[] = "ochentaycinco4\0";
char test22222[] = "ochentaycinco5\0";
const char* testX = "ASD\0";
char testB[256];
strcat(testB,test2);
strcat(testB," 85\0");
printf(test2);
printf("\n\n");
printf(testX);
printf("\n\n");
}

int main()
{
Test();

char test11111[] = {'o','c','h','e','n','t','a','y','c','i','n','c','o',0};
char test22222[] = "ochentaycinco11\0";
const char* testX = "WWW\0";
printf("TEST1\n");
printf(testX);
printf("\n");
printf(new char[] = "wwwwwww\n");
printf(new char[] = "xxxxxxx\n");
printf(new char[] = "AAAAAAA\n");
system("pause");
return 0;
}



podemos ver las cadenas que son detectadas y las que no:




Si alguno quiere agregar algo con referencia al tema XD, en realidad yo si tuviera que recurrir a ocultar cadenas utilizaría algún tipo de encriptamiento interno, como XORSTR, pero esto se usa también



Me cerraron el Windows Live Spaces, entonces me creé un WordPress XD
http://etkboyscout.wordpress.com/