 Autor
|
Tema: Edición Hexadecimal (Leído 4,529 veces)
|
Gabrunix
 Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
Hola me e estado adentrando en este tema y me parece muy interesante, pero me parece una verdadera odisea encontrar el o los offsets infectados en un server de 5x kb, yo personalmente nunca lo e logrado hacer, pero si e reducido en gran medida la posibilidad de que alla un offset infectado dentro del rango que yo he comprovado, aqui una foto de como yo lo ago:  La verdad es que este metodo me ha causado mas de un dolor de cabeza por que cuando ya creo que e identificado un offset maligno, lo compruebo dejando releno con ceros y no me salta el antivirus, luego relleno con 0 otro sector y el antivirus ahi si me salta, se me hace muy difícil... Seguro que aqui deben de saber acerca de este metodo y seguro deben de haber formas mucho mas faciles de dar con los offset, bueno ojala s existe algu programa o algún método más facil pueda postearlo ya que a mi este me parece el mejor metodo de indetectar un server, saludos |
|
|
|
|
En línea
|
|
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
Muchas gracias por tu respuesta, que ya pense que mi tema pasaba de largo, ahora mismo estoy examinando la información, Saludos
|
|
|
|
|
En línea
|
|
|
|
ranser
Desconectado
Mensajes: 42
|
mi pregunta es media tonta,pero si con el SignatureZero busco las firmas de los av puede ser q me salgan mas de dos firmas? y si se puede, cuando las pongo en cero noce puede dañas el server x modificar muchas firmas?
desde ya muchas gracias.
|
|
|
|
|
En línea
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
mi pregunta es media tonta,pero si con el SignatureZero busco las firmas de los av puede ser q me salgan mas de dos firmas? y si se puede, cuando las pongo en cero noce puede dañas el server x modificar muchas firmas?
desde ya muchas gracias.
Puede haber más de 1 offset malicioso y distintos para las diferentes empresas antivirus en cuestión, y puede que dejes inservible el server pero si tienes suerte lo dejas indetectable y pesando lo mismo que el server original, saludos
|
|
|
|
|
En línea
|
|
|
|
ranser
Desconectado
Mensajes: 42
|
pero si encuentro el offset malicioso ya con poner la linea en cero ya esta?,xq vi en el post q creo vojok q tiene un link y te manda a un manual de como buscar el codigo malicioso (de esa forma es mas compleja) y no los pone la linea en cero solamente modifica en donde esta el numero(5045 a 5046) y las letras q tiene a la derecha q forma la palabra PELO lo modifica a PFLO. igual dejo unas cap para q lo vean aca el codigo original es el 5045 y esta marcado donde dice PELO  y aca ya modificado q le cambio a 5046 y donde decia PELO ahora dice PFLO  el manual es de Badcode ya hace tiempo q esta pero puede funcionar a mi me parece raro q en las firmas le pongas ceros y listo yo pienso q hay estas eliminando parte del troyan y se te va a hacer pelota,si solamente lo cambias la linea entonces el av no lo va a detectar xq ya no esta la firma esa la has modificado,digo yo XD ahora noce si funcionaria x eso pregunto XDXDXD |
|
|
|
|
En línea
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
la verdadera función de los 0 es un método para ir diferenciando los sectores en que podrían estar los offset, en ningún caso vas a dejar eso así seria imposible que pudiere funcionar
|
|
|
|
|
En línea
|
|
|
|
argfacu
Desconectado
Mensajes: 2
|
Tengo una duda en cuanto a la edicion hexadecimal, cuando cambio blockes en el editor no me detecta los virus el AV, ya sea q cambie un numero o cientos de blockes... como puedo hacer para dar bien con la firma y no tener este problema???
|
|
|
|
|
En línea
|
|
|
|
ranser
Desconectado
Mensajes: 42
|
quiero usar el signature zero y estuve biendo q hay q poner al av q excluya la carpeta q tiene el signature y el server pero no puedo lograrlo simpre me lo detecta o el signature me dice detectado simpre dice no detectado, yo tengo el Kaspersky Anti-Virus v7.0.0.125 si alguien me pueda ayudar y decirme como lo puedo exclui bien se lo agradeceria mucho.
|
|
|
|
|
En línea
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
quiero usar el signature zero y estuve biendo q hay q poner al av q excluya la carpeta q tiene el signature y el server pero no puedo lograrlo simpre me lo detecta o el signature me dice detectado simpre dice no detectado, yo tengo el Kaspersky Anti-Virus v7.0.0.125 si alguien me pueda ayudar y decirme como lo puedo exclui bien se lo agradeceria mucho.
Usa el kav 6.0 ese tengo yo y si da la opción, serias tan amable de pasarme una kay para kis 7.0 para probarlo, saludos
|
|
|
|
|
En línea
|
|
|
|
ranser
Desconectado
Mensajes: 42
|
quiero usar el signature zero y estuve biendo q hay q poner al av q excluya la carpeta q tiene el signature y el server pero no puedo lograrlo simpre me lo detecta o el signature me dice detectado simpre dice no detectado, yo tengo el Kaspersky Anti-Virus v7.0.0.125 si alguien me pueda ayudar y decirme como lo puedo exclui bien se lo agradeceria mucho.
Usa el kav 6.0 ese tengo yo y si da la opción, serias tan amable de pasarme una kay para kis 7.0 para probarlo, saludos este es el q uso yo es hasta el 2008 http://www.gigasize.com/get.php/-1099622909/kaspersky_antivirus_with_keys.rar
|
|
|
|
|
En línea
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
quiero usar el signature zero y estuve biendo q hay q poner al av q excluya la carpeta q tiene el signature y el server pero no puedo lograrlo simpre me lo detecta o el signature me dice detectado simpre dice no detectado, yo tengo el Kaspersky Anti-Virus v7.0.0.125 si alguien me pueda ayudar y decirme como lo puedo exclui bien se lo agradeceria mucho.
Usa el kav 6.0 ese tengo yo y si da la opción, serias tan amable de pasarme una kay para kis 7.0 para probarlo, saludos este es el q uso yo es hasta el 2008 http://www.gigasize.com/get.php/-1099622909/kaspersky_antivirus_with_keys.rarPara excluir un directorio debes primero desactivar la protección, luego vas a configuración y eliges Zona de confianza ahí pones añadir y pones la ruta de la carpeta con un /*.* al final, sino no sirve, das a aceptar activas la protección y la carpeta estará excluida... Tendras por ahi una key para kaspersky antivirus 6.0 que yo lo uso congelando el reloj en trial de 30 días,  saludos
|
|
|
|
|
En línea
|
|
|
|
ranser
Desconectado
Mensajes: 42
|
aca estan la key para el 2008 y 2010: http://www.archivosbackup.com/download.php?file=570key para el Kaspersky 6.rar te pongo unas caps para q veas aver q hago mal xq hago lo q vos decis pero cuando pongo el signature zero me pone NO DETECTADO y ya noce como hacer    eston son los pasos q hago, y algo debo de estar haciendo mal xq siempre me dice (signature zero) q NO ENCONTRADO,si alguien me puede ayudar se lo agradeceria |
|
|
|
|
En línea
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
te dije arriba que le pusieras al final un símbolo de todo, ejemplo C:\carpeta\*.* Saludos y gracias por las keys  |
|
|
|
|
En línea
|
|
|
|
ranser
Desconectado
Mensajes: 42
|
 una vez q ya lo puse como me dijiste en el signature me sale como no encontrado(me parece q voy a tener q hacerlo manualmente XD)  lo mas seguro es q estoy haciendo algo mal PD:yo tengo la pc con el deep freeze x el cual cuando instalo el AV me pide q reinicie pero le pongo q no y siempre me dice q reinicie para terminar la instalacion,esto puede tener algo q ver???? desde ya muchas gracias
|
|
|
|
|
En línea
|
|
|
|
|
 |
