Junio 25, 2018, 02:30:02 am

Autor Tema: Preguntas mas frecuentes  (Leído 1490 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dark Allien

  • Me das tu IP?
  • *
  • Mensajes: 105
    • Ver Perfil
Preguntas mas frecuentes
« en: Mayo 08, 2007, 01:02:48 pm »
Cambiar offsets detectados con editor hex.
Es una de las técnicas mas antiguas de todas consistes en ir buscando los offsets detectados y cuando encontramos el que caza el antivirus cambiamos su numero por un numero mas alto y generalmente conseguimos hacerlo indetectable, pero muchas veces se jode la aplicación.

Cambiar el código fuente detectado en ASM
A mi es la técnica k mas me gusta, es como la anterior solo k en vez de sumar un numero abres el programa con un debuger como ollydbg y te diriges al offset detectado y cambias el código fuente en ASM, así consigues k sea indetectable y no estropeas el ejecutable.

Si abres un programa con un editor hexadecimal solo ves numeritos, pero si usas un debuger esos números se traducen a código en ASM.
Y por ejemplo si el offset detectado es "74" ("je" en ASM, significa si es igual salta) y si cambias el 74 por "75" (“jne” en ASM, significa salta si no es igual)
Por lo tanto lo k tas haciendo es invertir un salto, aparentemente se queda indetectable ya k es lo contrario, pero si por ejemplo tienes este código tan simple:
Si cam ESTA apagada entonces enciéndela
Si cambias ese 74 por 75 quedaría así:
Si cam NO ESTA apagada entonces enciéndela
Por eso al cambiar usando el editor hex algunas funciones quedan inutilizadas o incluso te puedes cargar el programa.
Si lo modificas el código fuente en ASM como por ejemplo poniendo un salto a la función o algo k haga lo mismo de manera diferente pues te queda indetectable y funcional.


Usar encriptadores y compresores
Esto es l mas como y lo k mas gente hace, a mi no me gusta ya k no suelen durar mucho siendo indetectables..
No es lo mismo un encriptador k un compresor:

* Encriptador

Es un programa con el fin de proteger un ejecutable para k no pueda obtenerse su código fuente fácilmente, estos no hacen mas pequeño el programa, generalmente lo hacen mas grandes, algunos de estos programas solo tienen el fin de hacer indetectable las aplicaciones.
Usar los encriptadores da muy buenos resultados, pero al poco tiempo los antivirus los añaden a sus listas y son detectados.
Los ejemplos de encriptadores más comunes son el Themida, el SD Protector ...

* Compresor

Son programas con el fin de hacer k las aplicaciones ocupen menos de su tamaño original.(reducen su tamaño casi a la mitad)
No suelen hacer indetectables las aplicaciones.
Los mas frecuentes son upx, fsg...

También quiero destacar que los joiners y los binders No hacen indetectables los programas, lo que hacen es juntar varias cosas, y sirven para engañar cuando por ejemplo le envías un troyano a alguien si no le aparece nada en la pantalla es sospechoso, si con un binder juntas el troyano con una foto ya no es tan sospechoso wink

Extensión de un troyano
Los troyanos siempre tiene tener la extensión “exe” para que sean ejecutados como una aplicación.
Hablando claro, no se puede mandar un troyano como si fuera una foto (con extensión jpg) , la explicación es muy sencilla. Windows ejecuta cada extensión con un programa predeterminado, y si tiene extensión jpg lo abrirá con el visor de imágenes, por lo tanto el troyano no se ejecuta.
También es sabido que hay varios trucos para engañar a la victima haciéndola creer que es una foto...
Por ejemplo:

    * Doble extensión
    * Cambiar el icono
* Contaminar el registro


Doble extensión
Consiste simplemente en renombrar un archivo de troyano.exe a troyano.jpg.exe
Así Windows ocultara la extensión exe y el usuario vera k tiene extensión de foto.

Cambiar el icono
Con herramientas como el ResHacker puedes cambiar los iconos de una aplicación y poner por ejemplo el icono k usa Windows para las fotos y así lo abrirá creyendo k es una foto...

Contaminar el registro
En el registro esta guardado con que programa se abre cada extensión.
Pues el truco esta en cambiar el programa k abre los archivos jpg por ejemplo para k los abra como programas y después de haber hecho ese cambio cualquier archivo jpg que le mandemos lo abrirá como una aplicación.
Ejemplo: You are not allowed to view links. Register or Login

Enviar troyanos
Lo mas frecuente para enviar un troyano a la victima suele ser enviarlo por email o por mensajería instantánea, pero estos bloquean los ejecutables y avisan de que son archivos peligrosos para el equipo. Para evitar eso se pueden hacer 2 cosas:

    * Comprimir archivos
* Tres puntitos


Comprimir archivos
Si el archivo exe lo comprimes en zip por ejemplo te dejaran enviarlo por todos los lados y la victima lo podrá abrir ya que viene por defecto con Windows.

Tres puntitos
En Hotmail si después de el exe pones 3 puntitos no te dice nada de el archivo y te lo ejecuta normal.
Por ejemplo “troy.exe” => “troy.exe...”

Problemas con troyanos
A la hora de usar un troyano de conexión inversa se nos dan muchas ventajas pero también tiene algún inconveniente.
Si tienes una IP dinámica (que cambia) necesitas crearte un DNS con no-ip por ejemplo para k tu ip siempre este actualizada.
Si el Server no se conecta a ti puede ser pro varias cosas, la mas común es k no tengas abiertos los puestos de tu router, tendrás k abrirlos, también puede ser k la victima tenga un firewall y no deje conectarse a Internet o simplemente k tu troyano sea detectado y su antivirus lo borre.

Comprobar si un troyano es detectado
Para comprobar si un troyano es detectado lo mas fácil es usar nuestro antivirus, pero cada antivirus es distinto por lo tanto si la victima tiene un antivirus distinto alo mejor se lo detecta.
Hay varios escaners de varios antivirus a la vez:
Online : Son antivirus en paginas Web como VirusTotal, no enviéis nunca vuestros troyanos a analizar ya k mandan muestras a las compañías antivirus y si no es detectado lo será en pocos días
Offline: Hay herramientas como la de Thor (KISM) k hace lo mismo solo k no manda muestras a ningún antivirus.

By: Dark allien ;)
<a href="You are not allowed to view links. Register or Login">You are not allowed to view links. Register or Login[/img]</a>
<a href="You are not allowed to view links. Register or Login"></a>


xx
22 preguntas frecuentes sobre preguntas frecuentes y algunas recomendaciones

Iniciado por shevchenko

0 Respuestas
1248 Vistas
Último mensaje Abril 09, 2009, 10:45:04 am
por shevchenko
xx
preguntas mas frecuentes sobre virus

Iniciado por wanm28

0 Respuestas
1468 Vistas
Último mensaje Junio 15, 2007, 11:32:56 am
por wanm28
exclamation
[FAQ´S] Index de Preguntas y Temas mas Frecuentes [FAQ´S]

Iniciado por ..::Lëssiëm Táralóm::..

1 Respuestas
15019 Vistas
Último mensaje Julio 09, 2008, 07:11:31 pm
por ..::Lëssiëm Táralóm::..
exclamation
F.A.Q → Preguntas Frecuentes Batch → Actualizado [24/01/2013]

Iniciado por HolyKnight

0 Respuestas
10785 Vistas
Último mensaje Agosto 19, 2007, 03:59:31 am
por HolyKnight
thumbup
» [FAQ - Frequently Asked Questions] Recopilación de preguntas frecuentes

Iniciado por seth

0 Respuestas
7620 Vistas
Último mensaje Julio 06, 2008, 07:29:17 pm
por seth
xx
Ataques frecuentes en mi PC

Iniciado por remover

5 Respuestas
2047 Vistas
Último mensaje Mayo 29, 2006, 01:00:03 pm
por lunero
resuelto
FAQ - Problemas Frecuentes

Iniciado por kakarottojr

8 Respuestas
2804 Vistas
Último mensaje ſeptiembre 25, 2009, 02:41:09 pm
por kakarottojr
xx
Las 10 estafas más frecuentes en Internet

Iniciado por shevchenko

0 Respuestas
1226 Vistas
Último mensaje Mayo 22, 2009, 04:19:44 pm
por shevchenko
exclamation
Temas Interesantes/Frecuentes

Iniciado por mDrinky

14 Respuestas
31573 Vistas
Último mensaje Noviembre 15, 2013, 10:16:44 am
por seth
xx
Contraseñas en router's más frecuentes

Iniciado por RaKi0N

3 Respuestas
4192 Vistas
Último mensaje ſeptiembre 27, 2007, 07:06:33 am
por 47gui3n