BlogSecurity-Oriented C

Una guía ampliada sobre criptores en tiempo de ejecución

¡Hola de nuevo, amigos! Regresé con otra guía (final) sobre criptores en tiempo de ejecución, que es una extensión de mi guía de criptor en tiempo de ejecución anterior. Si aún no lo ha leído, le recomiendo que lo haga desde la teoría fundamental del formato PE. Nuevamente, esta será una guía específica de Windows, así que repetiré esto: Si odia y se estremece ante el menor sonido del grotesco bebé de Microsoft, no dude en cerrar esta pestaña, eliminar su historial, salir de su navegador, verter un poco de aceite en su máquina y desinfectarla con fuego. De lo contrario, continúe hacia adelante.

Esta avanzado La guía discutirá un concepto que tiene alguna relación con tecnología de embalaje así que si está interesado en eso, esto puede servir como una introducción realmente básica. Actualmente no sé cómo se llama esta técnica, pero no se preocupe, le explicaré su método y procedimiento, así que si alguien sabe cómo se llama, simplemente déjelo en la sección de comentarios a continuación, o no, lo que quiera … Publicaré mi código fuente si alguien quiere ver lo que está sucediendo desde el punto de vista del código técnico, pero dado que esto es puramente conceptual, no espere que funcione en todas las aplicaciones y si lo está usando para probar malware. , no espere que sea indetectable. Esto significa que no lo ejecutaré en un entorno antivirus activo. (¡Lo siento!).

Nota: Todavía estoy aprendiendo más sobre esto, así que si obtengo información incorrecta, deje un comentario a continuación o envíe un mensaje a mi bandeja de entrada e intentaré corregirlo lo antes posible.

Descargo de responsabilidad: Este es un artículo que muestra cómo funciona el criptográfico en tiempo de ejecución. Está destinado a ser una guía, no un tutorial, por lo que no se proporcionará toda la información.

Visualización del formato PE

Primero, analizaremos el archivo de destino para nuestra prueba de concepto, es decir, utilizaremos un ejecutable de cliente Dark Comet. Creemos uno usando Dark Comet RAT y luego analicémoslo.

Ahora veamos cómo se ve usar PEview para diseccionarlo.

Podemos ver todos los encabezados enumerados y también cada sección. ¡Genial!

Crear un concepto

Paso 1: agregar una nueva sección

Primero, necesitaremos ubicar y señalar el desplazamiento del archivo de la nueva sección encabezamiento

Ahora necesitamos agregar la sección en sí. Por supuesto, no hay nada especial en hacer esto, todo lo que tenemos que hacer es agregar nuestra rutina al archivo. El encabezado de la sección lo registrará automáticamente.

¡Todo está bien!

Paso 2:

Paso 3:

Para agregar esto al archivo, simplemente agréguelo como lo mencioné antes.

¿Fácil? Quizás…?

Analizando nuestro archivo modificado

Primero, construyamos nuestro archivo modificado …

Intentemos ejecutarlo normalmente …

¡Sí! ¡Todo está funcionando perfectamente bien! ¡Impresionante!

Conclusión

Nuevamente, si está confundido, investigue un poco más: hay recursos en línea más que suficientes para esto. Si no ha leído mi guía anterior sobre criptores en tiempo de ejecución, hágalo ya que la teoría del formato PE se explica (hasta cierto punto de todos modos) allí.

¡Espero que todos hayan disfrutado de esta serie de dos partes y se hayan familiarizado con la manipulación de PE diferente, muy creativa y mágica! ¡Gracias a quienes me han apoyado moralmente durante el desarrollo de este programa! (Te estoy mirando, eneldo.) No estoy seguro de lo que escribiré la próxima vez, ¡pero espero que sea tan informativo e interesante!

¡Eso es todo amigos!

dtm.

PD Oh, cierto, estás buscando el código fuente, ¿no? Bueno, lo he retrasado lo suficiente, solo recuerde que es puramente una prueba de concepto y no funcionará para todas las aplicaciones y ciertamente no garantizará malware indetectable … Ah, y sobre los comentarios, no son demasiado detallados al momento de escribir esto, ¡pero ciertamente solucionaré este problema!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar