Tema destacado: Sigue las noticias más importantes de elhacker.net en  twitter!
 Autor
|
Tema: Estabilidad y notificacion del FLUX 1.01 (Leído 629 veces)
|
cristian_p89
 Desconectado
Mensajes: 72
|
Ola. Llevo tiempo detras de este foro, aaunke no posteo demsiado, y al ver lo bien k se abla del flux decidi bajarmelo y intentarlo acer indetectable (ya k mi intento con el bifrost fue un desastre) con el metodo de los ofsets k es con el uniko que me aklaro del todo. Bueno pues despues de bajarmelo e instalarlo lo probe conmigo mismo y kon un kolega (siempre con su consentimiento  ) y me a sorprendido bastante que le cueste tanto notificarme las conexiones. Alomejor me sale la notificacion del ordenador infectado a los 20 minutos de aerlo ejecutado yo mismo, y ademas muchas veces se cae la conexion. Me a extrañado por lo bien k se abla de el. Yo siempre e preferido el bifrost pero me a sidi imposible hacerlo indetectable y estoy probando con el flux. Gracias por molestaros. SSaludos !! |
|
|
|
|
En línea
|
SSaludos
|
|
|
innomann
Desconectado
Mensajes: 29
|
Ola. Llevo tiempo detras de este foro, aaunke no posteo demsiado, y al ver lo bien k se abla del flux decidi bajarmelo y intentarlo acer indetectable (ya k mi intento con el bifrost fue un desastre) con el metodo de los ofsets k es con el uniko que me aklaro del todo. Bueno pues despues de bajarmelo e instalarlo lo probe conmigo mismo y kon un kolega (siempre con su consentimiento ) y me a sorprendido bastante que le cueste tanto notificarme las conexiones. Alomejor me sale la notificacion del ordenador infectado a los 20 minutos de aerlo ejecutado yo mismo, y ademas muchas veces se cae la conexion. Me a extrañado por lo bien k se abla de el. Yo siempre e preferido el bifrost pero me a sidi imposible hacerlo indetectable y estoy probando con el flux. Gracias por molestaros. SSaludos !! Pues suena raro, la verdad que a mi me funciona al instante, osea me notifica al instante cuando es infectado alguien con el server, lo unico que no he checado bien es la cuestion del lag cuando tienes muchas victimas conectadas dentro del Flux, pero en general esta muy bueno, checa bien tus configuraciones de conexion o firewall o cosas por el estilo ahi debe andar la falla, recuerda que tienes que abrir el puerto del flux (2001 o el que hayas puesto para el listen) en tu ruteador para que funcione bien. Saludos P.D. si no te convence mucho el Flux te recomiendo el MiniMo 0.7 y el CIA 1.3 que son realmente buenos y tienen bastantes opciones.
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Puede aparecer cierta inestabilidad en el server una vez que modificas algun offset, no olvides que de alguna forma estas modificando codigo... En una ocasion me paso con sub7 que en una de las modificaciones que hice no paraba de notificar una vez ejecutado el servidor, a la hora tenia casi 1000 correos en mi bandeja de entrada...
Los efectos que se pueden dar son de tan particulares como el que te comentaba a hasta imperceptible o nulos, asi que mejor buscate otro offset si deseas usar eso de caballo de batalla.
Un saludo
|
|
|
|
|
En línea
|
|
|
|
innomann
Desconectado
Mensajes: 29
|
Puede aparecer cierta inestabilidad en el server una vez que modificas algun offset, no olvides que de alguna forma estas modificando codigo... En una ocasion me paso con sub7 que en una de las modificaciones que hice no paraba de notificar una vez ejecutado el servidor, a la hora tenia casi 1000 correos en mi bandeja de entrada...
Los efectos que se pueden dar son de tan particulares como el que te comentaba a hasta imperceptible o nulos, asi que mejor buscate otro offset si deseas usar eso de caballo de batalla.
Un saludo
y si en lugar de cambiar el offset mejor lo relocamos a otro lugar por medio de un jump como ese metodo del que tanto hablan pero nadie dice donde... eso funciona mejor aunque es mas tardado y complicado.
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
El metodo RIT solamente te va a servir para NOD32 y algun otro malogrado antivirus, hubo mucho escandalo y se hablo mucho de este metodo porque podia burlarse a kaspersky con esta tecnica, de mas esta decir que KAV ya arreglo el problema, al menos cuando pruebo direccionar el entry point en mi maquina me detecta al tiro con nombre y apellido, lo mismo lo subo y lo ejecuto a una pc que tiene KAV con la key caducada hace un par de meses y no lo detecta.
Para antivirus que no se preocupan por el entrypoint (la mayoria de renombre) este metodo nunca funciono.
Saludos
|
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
Ummm , lo que dices Hypnoss creo que es otra cosa. Tu dices utilizar el metodo rit para cambiar el entry point, una ex-forma de burlar a kav y nod, pero lo que realmente se hace con el metodo rit es cambiar de lugar los offset detectados.
Esta explicado por ahi en el foro, basicamente es encontrar los offsets detectados, buscar un hueco, meter los offset detectados en ese hueco y juntar todo con saltos.
|
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Thor Es lo que hacia el REP? Te comento que estuve haciendo las pruebas con el y ya no me va con KAV... Aprovecho para mandarte un saludo compañero, que estes bien  |
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
Si, basicamente es lo que hacia el REP (redireccionaba el entry point a una zona vacia y regresaba al entry point original), y si, es posible que ya lo pille KAV, estan al loro  , pero cambiando un poco la forma de hacer los saltos seguro que no lo pillan. Lo bueno es saber como se hacen estas cosas y con pequeños cambios en la forma de hacerlo ya tienes tus troyanos indetectables. Saludos igualmente. |
|
|
|
|
En línea
|
|
|
|
cristian_p89
Desconectado
Mensajes: 72
|
y si en lugar de cambiar el offset mejor lo relocamos a otro lugar por medio de un jump como ese metodo del que tanto hablan pero nadie dice donde... eso funciona mejor aunque es mas tardado y complicado.
Como bien dices es una kosa de la que se abla muxo y nadie explika...podrias exolikarlo porfavor?
|
|
|
|
|
En línea
|
SSaludos
|
|
|
innomann
Desconectado
Mensajes: 29
|
y si en lugar de cambiar el offset mejor lo relocamos a otro lugar por medio de un jump como ese metodo del que tanto hablan pero nadie dice donde... eso funciona mejor aunque es mas tardado y complicado.
Como bien dices es una kosa de la que se abla muxo y nadie explika...podrias exolikarlo porfavor? La idea es sencilla, simplemente cambiamos la instruccion detectada desde OllyDbg por un jump a un offset en blanco y dentro de ese offset metemos la instruccion que quitamos previamente y despues metemos otro jump para regresar al offset del que veniamos con esto conseguimos engañar al antivirus y que siga funcionando sin ningun problema nuestro server 8) Parece sencillo pero la verdad que es mas complicado de lo que parece ya que tenemos que saber un poco de asm y saber usar mas o menos bien el ollydbg para saber que estamos haciendo y no perdernos. Han estado hablando mucho del tema y han mencionado mucho acerca del Metodo RiT que practicamente es este mismo que te acabo de comentar, mira si quieres mas informacion mandale un mensaje personal a "xyzthor" seguramente el te ayudara como me ayudo a mi P.D. no te mando la info del Metodo RiT porque no me gustaria darme credito por algo que no es mio. Saludos 8)
|
|
|
|
|
En línea
|
|
|
|
TaU
Desconectado
Mensajes: 184
|
|
|
|
|
|
En línea
|
"Si no se vive como se piensa, se acabará pensando como se vive", Pep Figueres Revolucionario / Presidente de Costa Rica / Primer jefe de estado de la historia en abolir el ejército / Catalán. www.wadalbertia.org -<|¡^P |
|
|
|
 |
