Tema destacado: Únete al Grupo Steam elhacker.NET
 Autor
|
Tema: alguien me explica el metodo del entrypoint??? (Leído 2,272 veces)
|
bigsnake
 Desconectado
Mensajes: 626
|
como ago para indetectabilizar los troyanos mediante el entrypoint??
gracias!!
|
|
|
|
|
En línea
|
|
|
|
|
|
|
Simbelmynë
|
eso era antes, ahora no creo (con kav al menos)
|
|
|
|
|
En línea
|
|
|
|
MrCuCo
Desconectado
Mensajes: 306
|
entrypoint??? ese metodo como es? nunk lo e escuxao
1 saludo:
MrCuCo
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Supongo que se refiere a el antiguo metodo de cambiar el entry point con el procdump o bien aplicar un salto hacia otro lugar de el archivo...
KAV ya detecta ambos metodos.
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
|
MrCuCo
Desconectado
Mensajes: 306
|
emmm....si, eso es cierto, sigue siendo detectado, xo se reduce en consideracion el numero detectado de los offset, es decir, si el server recien salido de "fabrica" tiene detectado 20 offset, despeus de modificarle el procdum solo detecta cosa de 2 o alomejor incluso 1, y no suelen estar en sitios bases (osea q no jodes el server).
1 saludo:
MrCuCo
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
emmmmmmmm, desde luego, hasta si te fijas, lo mas probable es que lo detecte con otra nomenclatura ya que no encuenta en el archivo todas las firmas que detectaba antes, no solamente cambiando el entry point, eso ocurre pasandolo por diversos encriptadores, etc, siempre que se modifique en cierta forma algunas firmas ya no van a estar en el lugar que se esperaban y por eso la deteccion sera distinta... Al bifrost kasper le detcta como 11 firmas, luego de pasarle un crypter solamente me ve 3  pero luego me caga que no puedo saltar ninguna de ellas sin cagar el server x.X... Un tema para verlo... Exito |
|
|
|
|
En línea
|
|
|
|
MrCuCo
Desconectado
Mensajes: 306
|
eso sera ati, xq yo modifico 3 firmas tb, 2 del mcafee y 1 del kav,y lo dejo 100% indetectable (excepto pal nod32 (heuristica)), siempre hay metodos...
1 saludo:
MrCuCo
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Seguro, eso depende que herramienta le pases, no todas hacen lo mismo...
1 saludo
|
|
|
|
|
En línea
|
|
|
|
|
Man-In-the-Middle
|
Todo, depende de cocktel de programas que le metas
un buen descompresor + procw + hexa+ compresor +proc
indetectable 100 % yo rulo aunnnn con el primer bifrost y naaa
provado
norton
trend micro
panda
Kav
sin broma, todo es cuestion de como manejes los programas, claro esta si vas a seguir con upx de cmpresor XDD, ni de a balas, y si va hacer injeccion , tampoco, tiene que ser un hibriodo del server, oseee si intsalas un server, el copiado debe ser exacto a tu mismo server!!, si tu server suelta un hijo(osea un dll , aparte del autocpiado), los antivirus detectaran el dll, es asi de simple, es cuestion de probar y testear hasta dar con el punto, a menos que seas un coder(que en mi caso no es asi), tienes que tantear
saluiooss
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Umm, parece un buen coktail realmente xD
Y si, realmente las combinaciones posibles de utilidades que pueden darse son tantas que creo que superan a la cantidad de malware hoy dia y con un poco de ingenio se pueden lograr indetectables de mil formas...
Una lastima no tener un servicio de escaneo confiable... ya que los que hay son de temer xDDD y ponerse a instalar 10 antivirus en un pc domestico o coordinar con los amigos para repartirse la labor es algo bastante arduo...
Nunca pensaron en la idea de poner un servicio de este tipo en la web??? De tenerlo, patearia muchos traseros xDDD hehehe...
Mas alla de poder ser usado por modificadores, es un servicio para personas que realmente necesitan testear la peligrosidad de algun que otro archivo que les llega a sus manos...
No se cuanto de factibilidad pueda llegar a tener esto, pero igual os dejo la idea... si tuviese una shell ya lo hubiese empezado a hacer xDD
Saludos!
|
|
|
|
|
En línea
|
|
|
|
kicking people
Desconectado
Mensajes: 211
|
Este es el llamado metodo RIT??
|
|
|
|
|
En línea
|
|
|
|
|
|
MrCuCo
Desconectado
Mensajes: 306
|
si tu server suelta un hijo(osea un dll , aparte del autocpiado), los antivirus detectaran el dll eso es cierto, yo modifike el prorat 1.9 fix2 y weno, no me lo detectaba el norton, el problema llego cuando se lo subi a la victima, le estaba exando el ojo a la pantalla con el bifrost, vi como le llego y no detecto nada, xo al abrirlo le salto el norton, seguia infectado ya q me notifica, xo al conectar dice q no se puede conectar con servers modificados... 1 saludo: MrCuCo
|
|
|
|
|
En línea
|
|
|
|
|
 |
