Capturar webcam con VB.NET

¿Que haremos? Crearemos una aplicación en Visual Studio, la cual hará uso de una webcam para capturar el video en frames independientes y depositarlos en memoria para despues mostralos al usuario a través de un picturebox y un Timer para crear la ilusión de movimiento. ¿Porque lo haremos? Porque es justo y necesario ¿Que necesitamos? [...]

Envío de correo con JavaMail/Netbeans

JavaMail es una expansión de Java que facilita el envío y recepción de e-mail desde código java. JavaMail implementa el protocolo SMTP (Simple Mail Transfer Protocol) así como los distintos tipos de conexión con servidores de correo -TLS, SSL, autentificación con usuario y password, etc [Según SantaWikipedia] ¿Qué necesitamos? JavaMail 1.4.5 Java y Netbeans 6.9 [...]

Proyecto de base de datos Firebird VB

En este proyecto realizaremos una aplicación de base de datos Firebird con el lenguaje de programación de Visual Basic de Microsoft, este proyecto tendrá las funciones básicas de gestión INSERT, DELETE, UPDATE y una interfaz de usuario para utilizarlas. ¿Que necesitamos? Visual Studio 2008 o superior Firebird última versión Firebird ADO.NET Data Provider. Conocimientos básicos [...]

Imprimir imagen con Print

La siguiente clase hace uso de PRINT para imprimir una imagen que se encuentra en un variable de tipo FileInputStream, esta clase a su vez es implementada desde una interfaz que hace fácil su uso, la clase así como todo el proyecto esta comentado. import java.io.File; import javax.print.Doc; import java.io.IOException; import javax.print.DocFlavor; import javax.print.SimpleDoc; import java.io.FileInputStream; [...]

Code Army Bolivia

17/10/09

Desinfeccion de Archivos Ejecutables - Parte 3

JAN29

Creacion de Virus de Computadora
Desinfeccion de Archivos Ejecutables

Una ves que ya conseguimos la infeccion del EXE, no nos sirve de nada si todo termina ahi, tenemos que continuar con el ciclo biotecnologico del virus, el cual es la propagacion.Yell, digo reproduccion.
¿Como logramos esto?
Los virus biologicos alteran el codigo de la victima para poder colocar sus propios genes (bits), y es con esos genes que pasan de huesped a huesped, como se reproducen, pues haremos lo mismo. Con la infeccion del EXE (Infeccion de Archivos Ejecutables), logramos colocar nuestro ADN (bits) en el huesped, y si ejecutamos el EXE de la victima, se ejecuta el codigo del virus y no el codigo original, esto es mucho mas que sospechoso y hace que nuestro virus sea al instante detectado.
Para remediar esto, lo que haremos sera seguir una pequeño guia.

Creo que se entiende, claro que no es el codigo completo de un virus, y es mas, existen otras formas de realizar este mismo procedimiento, pero por el momento nos sirve.Embarassed

Explicacion:
Cuando ejecutamos un EXE infectado con nuestro virus, este revisa si el exe esta en verdad infectado, ¿y como hace esto?, pues revisa si este EXE, tiene la firma de virus (La firma se refiere a unos bytes que se colocan en los virus, encriptados o no, eso depende de cada programador, esta firma se transmite al resto de los EXEs infectados), es asi como se evita entre otras cosas, la RE-infeccion (sip, eso tambien es posible, ¿no les a pasado? tener en una pc el virus Sallity infectando ejecutables, y al mismo tiempo ahh, digamos al virus BOOM haciendo lo mismo, es por eso que las pcs se vuelven lentas, ciclos y ciclos interminables de busqueda, escaneo e infeccion...), pero lo mismo sucede con nuestro virus, una ves en ejecucion busca EXE y lo que hace es verificar si la firma esta presente, si es asi, pasa de largo y no lo vuelve a infectar.
Aqui la funcion INFECTAR, con las modificaciones en rojo. Declaramos 2 constantes, sizevirus, es el tamaño de nuestro virus final, este tamaño variara con el tiempo, hasta terminar por completo con el codigo del virus, mucho ojo con eso. Aparte tenemos la constante firma, esta firma bien puede estar encriptada para evitar que los antivirus detecten a nuestro virus, claro que esta es solo una parte del trabajo del antivirus, este aparte busca cadenas de codigos ya conocidas, que se repiten una y otra vez en cada nueva variante de virus. Lo que hace que se busquen maneras de encriptar todo nuestro codigo malicioso como tambien hacer uso de archivos externos como BAT o VBS, etc.
La firma, la colocaremos al final de todo el codigo, como se ve en la imagen, asi tendremos Virus-EXE-Firma.Cool
 
Aqui la nueva funcion de Desinfeccion.

 
Explicacion:
Lo que hace basicamente nuestra funcion es; recibe como parametro un EXE infectado, copia este EXE para trabajar con el, Se lo abre, y se extraen bytes menos los bytes del virus. Con estos bytes extraidos, creamos EXE_temp, copia exacta + la firma, del EXE infectado, el cual procedemos a a ejecutar.

¿Y funciona?Undecided
Claro que si, como se ve en la imagen, nuestro campo de pruebas consiste en:
Prueba_Funciones.exe : hace lo que su nombre indica, solo nos sirve para probar en forma segura nuestro codigo.
Victima.exe: Es un exe cualquiera, solo despliega en pantalla una ventana con una imagen, mostrando ademas informacion de los bytes.
Virus.exe: igual, es un simple exe, que solo nos muestra inforacion en pantalla.
 


Fijate bien en el tamaño de los bytes de la Victima.exe
Ahora ejecutamos nuestro prueba_funciones.exe, y hacemos clic en INFECTAR, se realiza la infeccion y vemos como nuestro EXE Victima.exe a crecido de 53248 bytes a 94220, lo cual es igual a 53248 + 40960 + 2 + 10.

Ahora probaremos si nuestra funcion Desinfectar funciona. Hacemos clic en el boton DESINFECTAR Y EJECUTAR. Lo que obtenemos es lo siguiente, en la captura de abajo, se puede apreciar que se crean los Temp.exe (Copia original + firma) y EXE_temp.exe (copia de Victima que sera eliminada).
Nos muestra un mensaje de "Archivo desinfectado", al hacer clic en Aceptar, veras como se ejecuta correctamente el programa Victima.exe (Temp.exe). OJO, fijate que ahora pesa 53261 bytes y no 53248, esto se debe a que este EXE contiene la firma, lo que hara que no se vuelva a infectar.
 
Aun no me crees, ¡Hombre de poca fe!, pues aqui te dejo la prueba con el Media Player Classic, Tamaño Original: 5303808 bytes, tamaño infectado de 5344780 bytes.Surprised


Archivos para descargar, clic AQUI.
Eso es todo por hoy, continuara...Sealed






2 comentarios:

Anónimo dijo...

sobre el tema desinfectaccion de archivos ejecutables parte 3

me puede mandar a mi correo: cm.programador@gmail.com
la aplicacion (infeccion de ficheros EXE) ojala me ayudes.

el link que dejastes al final de este tema en el blog no funciono.

mouse dijo...

lo resubire en cuanto pueda, gracias pòr el aviso :)

Post recomendado