miércoles, 9 de marzo de 2011

Charla interesante en la Rooted sobre virii

El viernes pasado en la RootedCon 2011 Alberto García realizó una presentación que parece muy interesante: Virus, el arte no debería ser negocio. En las diapositivas comenta varias cosas interesantes.

Una de ellas es que la forma mas típica de infectar un ejecutable es añadiendo una nueva sección, cambiando el EP a la nueva sección, ejecutar el código malicioso y mas tarde regresar al EP original. Y otra forma que comenta para que no sea muy evidente que el EP ha sido modificado es poner como primera instrucción un salto a la nueva sección.

También habla de cifrar un ejecutable y que este a su vez cree nuevas copias cifradas con distintas claves o con distintos algoritmos de cifrado para que cada copia del mismo sea diferente.

Otra de las cosas que comenta es utilizar el protocolo DNS o ICMP para controlar los bots y pasar mas desapercibidos a los cortafuegos.

Espero que pronto salga el video de la conferencia para verlo completo.

2 comentarios:

  1. En realidad las dispositivas explican por encima de manera que se entiende correctamente, es lo más conocido claro está que aún a esas ideas se les puede dar algo de uso y mejorarlas.
    Gracias por la noticia Thor.

    Saludos Swash.

    ResponderEliminar
  2. Por supuesto que son las tecnicas mas basicas, sin embargo existen otras que se aprovechan de un espacion que no es muy utilizado en un ejecutable, llamado caving que junto con lo que explicas de agregar una seccion a un ejecutable y poder tambien encryptar un ejecutable con dif claves para desencripar es algo no muy nuevo pero si se le dedica tiempo puede evolucionar :), saludos thor sigo todas tus entradas y de los mejores como chema, 4r35w0rm3d, iczelion,ricnar,sergio de los santos etc.. son un monton y a todos me los leo :) algun dia poder llegar a su nivel de todos ustedes y un poco mas :)

    ResponderEliminar