Bueno, use instrucciones no documentadas para su procesador. Tanto AMD como INTEL mantienen ciertas instrucciones fuera del alcance de su manual de desarrolladores (por qué continúan haciéndolo está más allá de mis esperanzas de entenderlo). Por lo tanto, si ejecutó un programa escrito con tales instrucciones, se ejecutará en una CPU en particular, pero una vez que intente desarmar dicho programa por parte de autores de diseminadores que no hayan tenido conocimiento de estas instrucciones (se atreven a asumir que los manuales de los desarrolladores contienen declaraciones verdaderas o que El manual contiene documentación completa de lo que importa, lamentablemente ese no es el caso) ¡Entonces te sorprenderás!
mientras que la biblioteca de desmontaje de Intel conoce muy bien estas instrucciones. Esta técnica todavía está siendo implementada por arquitectos e ingenieros de virus. Primero observado en Backdoor: Win32 / Farfli.AV
- ¿Cómo se puede ingresar al campo de la seguridad cibernética?
- ¿Qué se necesita para saber todo sobre la criptografía?
- ¿Es efectivo eliminar Internet de las computadoras del gobierno (con correo electrónico y servidores del gobierno) para reducir los ataques cibernéticos? ¿Hay una mejor alternativa?
- Cómo demostrar que mi novio ha hackeado mi teléfono
- ¿Cuáles son sus predicciones de 2016 para la ciberseguridad?
Otra técnica bastante funky, un error del kernel de Microsoft Windows, se conoce como la técnica de volteo de la puerta del cielo.
Un cambio de contexto que tiene lugar antes de la invocación de las funciones del modo kernel en procesos de 32 bits que se ejecutan en un kernel de Windows de 64 bits. Los procesos diseñados y compilados para ejecutarse en un entorno de 32 bits se cargan dentro del subsistema Windows-on-Windows64 (WoW64) y se les asignan hilos que se ejecutan en modo de compatibilidad IA-32e (modo de 32 bits). Cuando se realiza una solicitud de kernel a través de las bibliotecas estándar de WoW64, en algún momento, el subproceso cambia al modo de 64 bits, la solicitud se ejecuta, el subproceso vuelve al modo de compatibilidad y la ejecución se devuelve al llamante. El cambio del modo de compatibilidad de 32 bits al modo de 64 bits se realiza a través de un segmento específico denominado Puerta del Cielo. Todos los subprocesos que se ejecutan en el entorno WoW64 pueden ejecutar una LLAMADA LEJOS a través de este segmento y cambiar al modo de 64 bits.
La última vez que verifiqué un buen número de desensambladores conocidos y usados, tuve problemas para lidiar con esto, algunos incluso se estrellaron.
Pero dada la naturaleza bastante impredecible y esotérica de estas técnicas, la mayoría de los perdedores en el sector comercial simplemente implementarán una combinación de packer + protector + controlador del sistema para proteger sus aplicaciones.
Por lo tanto, no es tan raro ver que antes de que la aplicación se ejecute, pasa por una máquina virtual masiva de más de 20 mb que desempaqueta lentamente la aplicación mientras carga el controlador del sistema que luego mantendrá el uso correcto de la aplicación y manejará todo el uso potencial de los depuradores.
El controlador del sistema monitorea directamente las rutinas del kernel de Windows para la lectura / escritura de la memoria, los dispositivos cargados en la memoria, la ejecución de procesos y subprocesos y alguna información relativamente inútil (algunos de estos controladores también monitorean la entrada de los usuarios). Si intenta simplemente deshabilitar dicho controlador, no tendrá suerte, ya que implementa una generación única de latidos que se envía de vuelta al servidor de la aplicación (si está en relación servidor-cliente), por lo tanto, si desea deshabilitar este controlador, tiene que emular la generación de latidos en su máquina. Pero una vez que lo logras, eventualmente la aplicación (si requiere ser ejecutable en tu hardware) eventualmente se descomprimirá y podrás comenzar a retroceder libremente ¡yay! Por lo general, estas técnicas extremadamente aburridas son implementadas por Vac, Gameguard, PunkBuster y otros.
Todo es bastante controvertido porque, desde el punto de vista meramente técnico, estas rutinas / métodos implementados son completamente idénticos a los que ya se ven en lo que llamamos malware ilegal, spyware y, sin embargo, Microsoft no tiene problemas para certificar los controladores de dispositivos que utilizan estos métodos para el llamado bien mayor ( protección de aplicaciones). Un acto de hipocresía en su mejor momento.
También otra cosa es que, dado que estos controladores se están volviendo bastante potentes, no es muy difícil modificar sus rutinas, por lo que prefieren rastrear la entrada de los usuarios cuando usan navegadores web y escanear todas las pulsaciones de teclas (sí, vamos a obtener algunas tarjetas de crédito o inicios de sesión en cuentas bancarias).