elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  como puedo hacer funcionar mi troyano una vez que le borre la firma?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: como puedo hacer funcionar mi troyano una vez que le borre la firma?  (Leído 4,451 veces)
jopc

Desconectado Desconectado

Mensajes: 13


Ver Perfil
como puedo hacer funcionar mi troyano una vez que le borre la firma?
« en: 31 Enero 2014, 01:57 am »

hola, quisiera saber como dice el titulo de el tema, como puedo hacer funcionar mi troyano al cual le borre la firma, me podrian ayudar? se los agradeceria.  ;D
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #1 en: 31 Enero 2014, 05:20 am »

hola, quisiera saber como dice el titulo de el tema, como puedo hacer funcionar mi troyano al cual le borre la firma, me podrian ayudar? se los agradeceria.  ;D
Qué firma?
En línea

FoxSoul

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #2 en: 1 Febrero 2014, 02:00 am »

Hola! Bueno Yo no soy un experto y tampoco te explicas mucho, pero voy a suponer que tenes un troyano al cual atravez de algun metodo (XOR, RIT, Dsplit, AvFucker, etc) identificaste el offset con la firma detectada y lo modificaste y ya no te lo detecta pero ahora no te funciona...si esto es asi entonces lamento decrite, que tambien supongo, que ese offset que hizo indetectable tu troyano en realidad lo hizo obsoleto tambien ( puede que lo ayas roto y por eso no es detectado como amenza por el av, por que en realidad no hay tal amenaza ó tal vez es una firma que esta ddemaciado quemada, y es lo unico que podias cambiar para que no lo detecte pero no se puede hacer sin romper el programa...) Por ende mi consejo es que sigas experimentando, esta claro que el troyano no cumple sus funciones pero ahora tendrias que averiguar bien a que se debe, si no es algo muy quemado, como un modulo de propagacion USB, entonces segui buscando otros offsets que puedas modificar pero que te den el resultado que buscas, que obviamente es que sea indetectable y siga funcionando, te recomiendo que uses un crypter, si tenes tiempo que hagas el tuyo propio, hay muchos tutoriales que muestran como hacerlos paso a paso, mi humilde consejo final es, empeza simple y despues anda agregando la complejidad, asi va  hacer mas facil detectar los problemas! Exitos y suerte!
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #3 en: 1 Febrero 2014, 06:44 am »

Si te refieres a remover firmas de antivirus entonces eso es perdida de tiempo mejor comprate un crypter.
En línea

jopc

Desconectado Desconectado

Mensajes: 13


Ver Perfil
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #4 en: 1 Febrero 2014, 08:22 am »

hola me habian comentado que modificar el offset de la firma me hacia indetectable el troyano y luego mediante ensamblador lo podria hacer funcional, pero no se realizar el segundo para que es hacerlo funcionar con ensamblador. alguna idea?
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #5 en: 1 Febrero 2014, 09:08 am »

hola me habian comentado que modificar el offset de la firma me hacia indetectable el troyano y luego mediante ensamblador lo podria hacer funcional, pero no se realizar el segundo para que es hacerlo funcionar con ensamblador. alguna idea?
Es total perdida de tiempo sólo haces quedar innutilizable tu troyano; modificar/nopear bytes es inutil con el fin de remover firmas de Antivirus
y en la mayoria de los casos estarias afectando la infraestructura del malware que quien sabe como es en realidad y podria afectar la ejecución
y dejar de funcionar. 30 min como maximo es lo que las compañias Antivirus es lo que necesitan una vez que ya tiene tu malware para volverle a
poner nuevas firmas lo cual a ti te toma horas para removerlas.
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #6 en: 1 Febrero 2014, 20:41 pm »

hola me habian comentado que modificar el offset de la firma me hacia indetectable el troyano y luego mediante ensamblador lo podria hacer funcional, pero no se realizar el segundo para que es hacerlo funcionar con ensamblador. alguna idea?

Si nopeas instrucciones crashearás el programa por lo cual deberías usar una alternativa me explico: si la instrucción a nopear es por ejemplo:

Código:
MOV EAX,ESI
CONTINUAR:

Podrías modificarlo por un JMP a otra sección del código para que haga una operación similar:

Citar
MOV EDI,ESI
MOV EAX,EDI
JMP CONTINUAR
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: como puedo hacer funcionar mi troyano una vez que le borre la firma?
« Respuesta #7 en: 2 Febrero 2014, 01:01 am »

Si nopeas instrucciones crashearás el programa por lo cual deberías usar una alternativa me explico: si la instrucción a nopear es por ejemplo:

Código:
MOV EAX,ESI
CONTINUAR:

Podrías modificarlo por un JMP a otra sección del código para que haga una operación similar:

Eso implicaria modificar el diseño del malware que quien sabe como es en realidad y en la mayoria de los casos
dejaria de funcionar pero a pesar de eso ¿ porqué crees que es bueno remover firmas de Anvitirus modificando los bytes?
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
donde puedo hacer mi firma personalizada??
Diseño Gráfico
the fury 3 3,163 Último mensaje 10 Marzo 2005, 05:28 am
por BenRu
como puedo hacer un troyano en batch
Scripting
blha 6 9,736 Último mensaje 21 Diciembre 2009, 01:32 am
por CaronteGold
¿Cómo puedo hacer funcionar , la aceleración 3D , en Debian Squeeze?. « 1 2 »
GNU/Linux
Jenag 17 8,884 Último mensaje 25 Mayo 2012, 00:04 am
por dato000
No puedo hacer funcionar mi tl wn722n en kali! ayuda
Wireless en Linux
AnonymousC 1 3,949 Último mensaje 9 Mayo 2013, 03:27 am
por CloudswX
como puedo hacer un troyano y activar su webacam.
Hacking
SIHF 7 4,380 Último mensaje 7 Septiembre 2021, 23:39 pm
por SIHF
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines