Tema destacado:  Suscripción al boletín mensual de elhacker.net
 Autor
|
Tema: Cambiar firmas detectadas. (Leído 2,865 veces)
|
Harkox
 Desconectado
Mensajes: 16
|
Hola a todos, escribo este mensaje por que estoy intentando dejar indetectable un servidor a los antivirus y tengo un problema con las firmas. Ya tengo las firmas que me detecta NOD32 localizadas, concretamente son las que os muestro en la siguiente imagen:  Uploaded with ImageShack.usEl problema es que al cambiar el valor de dichos offsets (he probado a incrementar en 1 valor cada uno de ellos de forma independendiente) el servidor no funciona como debería. O bien no conecta o bien se ejecuta y al cabo de 1 minuto más o menos da error de windows. Me gustaría pedir que si alguien tiene alguna idea de por donde seguir investigando o de que forma modificar estos offsets de forma correcta le agredeceria que me indicase el camino a seguir. Un saludo y gracias de antemano! |
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.
Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Harkox
Desconectado
Mensajes: 16
|
Vale ok muchas gracias, ya sabía yo que estaba haciendo algo mal. Voy a probar con olly a ver que tal se me da. Muchas gracias por tu tiempo y por la rapidez de tu respuesta.
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Nada, para eso estamos, cualquier duda comenta en este hlo  . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Harkox
Desconectado
Mensajes: 16
|
Pues a riesgo de ponerme pesado vuelvo a escribir en este mismo hilo. He desgargado e instalado ollydbg. Nunca he usado este programa (tengo nociones mínimas de ensamblador) y no se de que forma puedo localizar firma correcta. Es decir, necesito encontrar que instrucción en ollydbg es la que se corresponde con la FF 25 que me indica el workshop. Si alguien puede indicarme como hacerlo se lo agradecería muchisimo. Un saludo!!
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Leete ésto, seguramente te sirva: http://www.megaupload.com/pt/?d=GOQQS0W6 Pass: http://www.octalh.mx.gs Y bueno, sería muy recomendable que aprendieras bien a usar ollydbg (en la web de ricardonarvaja tienes muchísima información) y todo lo que puedas sobre ensamblador. Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Harkox
Desconectado
Mensajes: 16
|
Ok muchas gracias, estoy descargandolo y me pondré con ello a ver si soy capaz de hacerlo. También seguiré tu consejo y comenzaré a aprender ensamblador...aunque me siento muyyy pequeñito ante lo que parece una tarea muy grande  . En fin, paciencia y constancia . De nuevo muchas gracias!! |
|
|
|
|
En línea
|
|
|
|
sabeeee
Desconectado
Mensajes: 49
|
Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.
Saludos
pero ¡el detector de movimientos sospechosos?? y si el av tiene otra euristica o como se llame?
|
|
|
|
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon
|
|
|
N30h}
Desconectado
Mensajes: 34
|
Aprovecho para decir:
Sé que hay tutos por internet y tal.
Pero podría alguien hacer uno y ponerlo en manuales de elhacker.net...
Es que de esas cosas casi no hy nada
|
|
|
|
|
En línea
|
|
|
|
N30h}
Desconectado
Mensajes: 34
|
Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?
Mira el link que puse más arriba. Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
N30h}
Desconectado
Mensajes: 34
|
Yo ya tengo ese paquete de antes pero gracias de todos modos. Pero ota cosa el Signature Zero sirve apra lo que yo pregunte. Pero tengo unos conocimientos básicos sobre el Signature Zero, me gustaría que me pusieras un tutorial de medio nivel sobre el programa. Ya que ando ocupado para encotrarlo y tú me lo peudes recomendar. Siempre viene bien, repasar un programa  Att N30h} |
|
|
|
|
En línea
|
|
|
|
not-all0w3d
Desconectado
Mensajes: 9
|
Tú lo que quieres es moddearlo a runtime ó igual te sirve scantime¿?
Porque sí es scantime, pues hay una sencilla manera de hacerlo sin alterar ni romper el código, otra cosa podría ser que probaras el método rit, ya que este que tú usas puede ser Avf, prueba Dsplit y posteas cómo te fue..
De nada,
|
|
|
|
|
En línea
|
|
|
|
pitoloko
Desconectado
Mensajes: 2.500
|
Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg,
Muy interesante, la verdad!!! Yo llevo toda la vida sacando las firmas desde el editor HEX y ahora me entero de esto xDD siempre hay algo que aprender... Tengo una pregunta, ¿Entonces el MEJOR método y más FIABLE para sacar firmas es usar el Olly?
|
|
|
|
|
En línea
|
pa que
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Unidades de cr-rom, no detectadas x el pc.
Hardware
|
DJ_Etxebe
|
3
|
1,078
|
13 Enero 2004, 11:47
por soplo
|
|
|
|
Firmas
Diseño Gráfico
|
kakinets
|
2
|
436
|
17 Octubre 2005, 20:03
por ™Carlos.®
|
|
|
Firmas IP
« 1 2 »
Diseño Gráfico
|
Superplay
|
27
|
2,922
|
23 Noviembre 2005, 21:55
por Kasswed
|
|
|
|
[Concurso] Firmas de elhacker.net [ESPERANDO FIRMAS]
« 1 2 3 4 5 »
Battle Arts
|
DarK_FirefoX
|
71
|
16,921
|
18 Julio 2008, 02:00
por Fischer987
|
|
|
Decenas de redes detectadas con mi Alfa 1W y poca conectividad
Materiales y equipos
|
navajasi
|
1
|
1,218
|
13 Abril 2011, 19:20
por ChimoC
|
 |
