jueves, 17 de febrero de 2011

Un círculo vicioso

Se rompen esquemas en aquellos momentos cuando la paranoica entra en tu cabeza y te pregunta ¿Otra vez la pescadilla se muerde la cola? Después de hacer el gamberro por la red, nos damos cuenta que la linea se hace demasiado fina entre el mal y el bien. Hoy vengo a hablaros de los famosos packers de ejecutables.

Llega a ser hasta tan estrecha la barrera que separa el buen uso del malo, que al encontrarnos frente a un packer, este nos podrá servir de protección Anti-Crackers, para evitar la decompilación de nuestra aplicación desde el ejecutable madre o podremos tener la mente sucia para pensar que con esos mismos protectores, poder darles un uso en contra de otro usuario para salteo de firmas antivirus y colarle un bichito en su sistema.

Opciones de ofuscación con protector Themida.




Conclusión, si ofuscamos el código ejecutable para evitar que sea crakeado, inevitablemente la estructura del ejecutable cambiará tanto que ni tan siquiera el antivirus, podrá detectar sus firmas.

Ahora me pongo en el cuello de las compañías antivirus:

¡Pues le ponemos firmas a los patrones de encriptación como hacemos con los crypters!
¿Y las aplicaciones sanas? ¿También serán detectadas

¡Pues sí

¿Y Por qué no tiramos de heurísticas?

¡Meteríamos demasiados falsos positivos en el ajo y eso no lo quiere nadie!


Conclusiones:

Algunas empresas prefieren detectar todos los ejecutables protegidos con los software comerciales (Armadillo, ASPack, NeoLite, PECompact, PKLite, UPX, Themida, Winlicese...) y otras prefieren pasarlos de largo.

¿Y si el troyano viene encriptado con un protector comercial y mi antivirus no le puso firma?

¡Te jodes!

Hace pocos años, cuando andaba segregando demasiada oxitocina por la comunidad de indetectables, se me ocurrió hacer un método de salteo de firmas mediante packers y bueno saqué menos nota que en los exámenes de religión, un 0 en detenciones antivirus con Armadillo y UPX.

Luego mi cabeza se fue volviendo un poco más enrevesada y me inventé un método que denominé Método DAF (Dependencias Anti Firmas), aunque este tocaba algo de programación para conseguir ejecutables portables con las librerías de las que dependía soportas en Iexpress “El binder indetectable de Microsoft”, pero bueno, no nos enrollemos porque este tema se nos escapa de la etiqueta Packers.

No sé si recordarán mi salida del armario en declararme adicto a los videojuegos bélicos, uno de ellos era el famoso Warrock, famoso por ser un videojuego malísimo hasta que en cosa de segundos, un tipo pegaba un salto de 12 metros por encima tuya y fulminaba a todo tu equipo lanzando granadas de tres en tres, mientras tu te quedabas acojonado de miedo en una esquina, escuchabas unos pasos del típico listillo atravesa-paredes y te mataba a puñetazos por la espalda.




Pues bien, los packers también son usados para el salteo de las aplicaciones Anti-Hackers que incorporan los juegos online, anteriormente PunkBuster y la supuesta mejora que se incorporó hará un par de años con HackShield, evitaban técnicas como inyecciones en procesos u ofuscación del código declarando variables con nombres aleatorios, lo más similar al comportamiento de un antivirus.

Más tarde este videojuego se actualizaba con paquetes protegidos con Themida y claro, Avira que detecta hasta la calculadora de Windows tenía que saltar con su molesto pop-up, así que era todo un coñazo permitir los archivos nuevos hasta que un día el proceso se quedó por la mitad y como es esto de la informática, Game Over.

Espero haberles rayado lo suficiente con esta entrada como para seguir leyendome.

Saludos 4n4les! ;)

6 comentarios:

  1. oies les han hackeado el sitio, chequenlo, lleva mas de una hora !!

    ResponderEliminar
  2. no es mantenimiento, se refiere a hackxcrack

    ResponderEliminar
  3. Cierto parece que hubo problemas... Esperemos que lo solucionen pronto.

    Saludos!

    ResponderEliminar
  4. me podrias dar una mano....helpmee.... gracias de antemano...!!

    ResponderEliminar
  5. ¡Buenas! ¿en donde tienes el problema?

    Saludos!

    ResponderEliminar