Metodo Meepa
Páginas: 6 (1448 palabras)
Publicado: 20 de septiembre de 2011
Virus Indetectables el método MEEPA by MazarD
Introducción
El mejor modo de hacer indetectable un troyano es modificando la firma de modo que el código siga haciendo lo mismo de forma un poco distinta, esto sin saber ensamblador puede resultar algo complicado, con otros métodos como el método rit y el método que voy a explicar no necesitan de apenas conocimientos sobre ensamblador y son puramécanica. La ventaja que aporta este método respecto al rit de hackxcrack es que no representa ningún problema que la firma esté en una parte encriptada del código, o en alguna parte en la que introducir código directamente represente un problema para el funcionamiento del programa. Además a diferencia del rit al no tener que interpretar la instrucción correspondiente a cierto punto de la firma sepuede automatizar fácilmente.
El método MEEPA
La mayoría de antivirus, como el kaspersky cuando se le pide que analice la memoria no está realmente buscando firmas en ella sino que mira los programas en ejecución y analiza en disco sus ejecutables y librerias cargadas. Entonces que pasaría si en disco no existe la firma pero en memoria si? Que el virus no seria detectado y funcionariaperfectamente. Por lo tanto lo que haremos será: 1-Modificaremos un byte de la firma en disco para que el antivirus no detecte el troyano. 2-Crearemos espacio en el exe para introducir nuestro código. 3-Cambiaremos el punto de entrada del exe para que inicialmente se ejecute nuestro código. 4-Desde nuestro código cambiaremos EN MEMORIA el byte que habíamos modificado por su valor original. 5-Saltaremosdesde nuestro código al punto de entrada real del programa.
Herramientas necesarias
-El troyano que vamos a modificar. Será el server del nuclearrat 1.0 configurado para que conecte a 127.0.0.1 y se instale en c:\windows\trojanezine. -El studpe para modificar la cabecera pe32 del exe. -Un editor hexadecimal. -Partimos de la base que la firma de kaspersky para este troyano es desde 6f81 hastaaproximadamente 7147. Junto con la ezine tienes el troyano para testear y el studpe, están los dos encriptados con contraseña ya que el nuclearrat lo detectarán todos los antivirus y el stud_pe puede que algunos lo detecten como hack tool. La contraseña para descomprimir el paquete es "método meepa" Editores hexadecimales hay miles por internet, yo aconsejo hdd hex editor, no está nada mal y tiene unaversión gratuita.
Recolectando información
PE32 significa portable executable y fue diseñado por Microsoft para tener el mismo formato de archivos ejecutables para todos los windows. Nosotros no necesitamos conocer mucho sobre él, lo que nos interesa es modificarlo para poder añadir código al ejecutable y cambiar el punto de entrada de este. Con el troyano cargado en el studpe vemos toda lainformación de la cabecera pe32 de nuestro troyano. Cogemos el imagebase(13fd0000) y lo sumamos al entrypoint rva(7dd0) nos dará la dirección absoluta una vez cargado en memoria del punto de entrada del programa (13fd7dd0) Ahora le damos a rvaraw e introducimos en file offset el inicio de la firma (6f81), debajo nos devolverá la dirección virtual de ese punto de la firma (13fd7b81)
Mas adelanteveremos para que queremos esta información.
Modificando el PE32
Crear espacio en el exe para nuestro código no es absolutamente necesario, podriamos utilizar espacios vacíos por la alineación del ejecutable. Para los que conozcan un poco el formato PE sería a partir del pointertorawdata+virtualsize y tendríamos un espacio libre de virtualsize-sizeofrawdata, pero es posible que no exista esteespacio y el proposito del artículo es que el método sea genérico. Otra posibilidad sería crear una nueva sección para nuestro código pero en algunos casos podría darnos problemas y nos obligaría a reajustar casi todo el archivo, así que vamos a lo mas fácil, ampliaremos el espacio de la ultima sección del ejecutable, emplazando nuestro código justo al final del exe. Vamos a sections y vemos que...
Introducción
El mejor modo de hacer indetectable un troyano es modificando la firma de modo que el código siga haciendo lo mismo de forma un poco distinta, esto sin saber ensamblador puede resultar algo complicado, con otros métodos como el método rit y el método que voy a explicar no necesitan de apenas conocimientos sobre ensamblador y son puramécanica. La ventaja que aporta este método respecto al rit de hackxcrack es que no representa ningún problema que la firma esté en una parte encriptada del código, o en alguna parte en la que introducir código directamente represente un problema para el funcionamiento del programa. Además a diferencia del rit al no tener que interpretar la instrucción correspondiente a cierto punto de la firma sepuede automatizar fácilmente.
El método MEEPA
La mayoría de antivirus, como el kaspersky cuando se le pide que analice la memoria no está realmente buscando firmas en ella sino que mira los programas en ejecución y analiza en disco sus ejecutables y librerias cargadas. Entonces que pasaría si en disco no existe la firma pero en memoria si? Que el virus no seria detectado y funcionariaperfectamente. Por lo tanto lo que haremos será: 1-Modificaremos un byte de la firma en disco para que el antivirus no detecte el troyano. 2-Crearemos espacio en el exe para introducir nuestro código. 3-Cambiaremos el punto de entrada del exe para que inicialmente se ejecute nuestro código. 4-Desde nuestro código cambiaremos EN MEMORIA el byte que habíamos modificado por su valor original. 5-Saltaremosdesde nuestro código al punto de entrada real del programa.
Herramientas necesarias
-El troyano que vamos a modificar. Será el server del nuclearrat 1.0 configurado para que conecte a 127.0.0.1 y se instale en c:\windows\trojanezine. -El studpe para modificar la cabecera pe32 del exe. -Un editor hexadecimal. -Partimos de la base que la firma de kaspersky para este troyano es desde 6f81 hastaaproximadamente 7147. Junto con la ezine tienes el troyano para testear y el studpe, están los dos encriptados con contraseña ya que el nuclearrat lo detectarán todos los antivirus y el stud_pe puede que algunos lo detecten como hack tool. La contraseña para descomprimir el paquete es "método meepa" Editores hexadecimales hay miles por internet, yo aconsejo hdd hex editor, no está nada mal y tiene unaversión gratuita.
Recolectando información
PE32 significa portable executable y fue diseñado por Microsoft para tener el mismo formato de archivos ejecutables para todos los windows. Nosotros no necesitamos conocer mucho sobre él, lo que nos interesa es modificarlo para poder añadir código al ejecutable y cambiar el punto de entrada de este. Con el troyano cargado en el studpe vemos toda lainformación de la cabecera pe32 de nuestro troyano. Cogemos el imagebase(13fd0000) y lo sumamos al entrypoint rva(7dd0) nos dará la dirección absoluta una vez cargado en memoria del punto de entrada del programa (13fd7dd0) Ahora le damos a rvaraw e introducimos en file offset el inicio de la firma (6f81), debajo nos devolverá la dirección virtual de ese punto de la firma (13fd7b81)
Mas adelanteveremos para que queremos esta información.
Modificando el PE32
Crear espacio en el exe para nuestro código no es absolutamente necesario, podriamos utilizar espacios vacíos por la alineación del ejecutable. Para los que conozcan un poco el formato PE sería a partir del pointertorawdata+virtualsize y tendríamos un espacio libre de virtualsize-sizeofrawdata, pero es posible que no exista esteespacio y el proposito del artículo es que el método sea genérico. Otra posibilidad sería crear una nueva sección para nuestro código pero en algunos casos podría darnos problemas y nos obligaría a reajustar casi todo el archivo, así que vamos a lo mas fácil, ampliaremos el espacio de la ultima sección del ejecutable, emplazando nuestro código justo al final del exe. Vamos a sections y vemos que...
Leer documento completo
Regístrate para leer el documento completo.