Tema destacado: Únete al Grupo Steam elhacker.NET
 Autor
|
Tema: Firmas en la cabecera un gran reto! (Leído 2,047 veces)
|
lucasluks1004
 Desconectado
Mensajes: 22
|
Bien como dice el titulo estoy intentando sacar una firma q se encuentra en la cabecera y para mi sorpresa (era de esperar) me deja inservible el stub probe con el offset locator y sus 256 combinacion y nda me lo deja indetecable pero a la vez inservible ,,tengo bien posicionado el offset detectado es el 68 ,,ahora mi pregunta es si hay otra forma de limpiar esa firma sin cambiar el valor del offset con un hex ,,desde gracias por leer.saludos
|
|
|
|
|
En línea
|
|
|
|
2Fac3R
Desconectado
Mensajes: 267
Sigamos Creciendo...
|
Es muy complicado cuando suceda eso, en ciertos casos el av te confunde y en realidad no se encuentro ahi la firma, o quizas si pero hay otras bastantes escondidas, tanto en la cabecera como en el cuerpo, si sabes programacion o tienes el codigo de fuente podrias empezar jugando con las APIs a ver si en una de ellas esta.
Nos cuentas como te fue...
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Primero de todo tienes que saber que parte de la cabecera te detecta... tal vez tengas dos secciones ejecutables o ese tipo de cosas que a los AVs no les gusta  |
|
|
|
|
En línea
|
|
|
|
The Swash
Desconectado
Mensajes: 82
Programmer
|
No os gusta casos como por ejemplo en VB: - Bound Import a 0 - Secciones distintas a las de código demasiado grandes  - Archivos desalineados (SizeOfInitializedData y compañia). - Tamaños no alineados (SizeOfImage, SizeOfHeaders, etc). y varias cosas más, no te vendría nada mal leerte el Formato PE. Un saludo. |
|
|
|
|
En línea
|
|
|
|
lucasluks1004
Desconectado
Mensajes: 22
|
Gracias por el apoyo gente !!!!,,realmente soy bastante nuevo en este foro pero veo q se ayudan mucho ,,espero subir mi crypt cuando sea fud 100% en este gran foro!! 2Fac3r : estoy 100% seguro q la firma se encuentra en la cabecera ya q al modificar ese offset me lo deja indetectable (tmb debo decir q antes habia firmas en el cuerpo las cuales las movi con el olly y ya no son detectadas) ,tmb tengo el codigo fuente ya q lo hice yo va en parte lei me base en muchos codigos de la red para hacerlo,,el cual uso las apis de forma dinamica ,,obvio siempre alguna hay q declarar o por lo menos asi lo hice yo. Karcrack subo una imgahen del hex donde marco los offset los cuales al modificar me lo deja indetecable pero tmb lo rompe The Swash eres un grande!! hace tiempo lei y intente entender tu codigo de como realiner las secciones en C te felicito por eso ,,logre hacerlo en vb6 usando tu codigo y otros mas q encontre por la red ,pero el tuyo fue el primero q lei,,asi q al crear el encryptado realineo de forma automtica y agrego todos los datos a la ultima sección,el bound import no esta en 0 ya q lei varios tutoriales de como pasar el hermoso avira los cuales no me dieron resultado. imagen en rojo los detectados,los valores de los offset son los orginales  Uploaded with ImageShack.us,,saludos |
|
|
|
|
En línea
|
|
|
|
The Swash
Desconectado
Mensajes: 82
Programmer
|
@lukaz
Creo que lo que "crees" o en tu concepto son los offsets detectados, no son otra cosa que el famoso campo del IMAGE_DOS_HEADER, l_fanew el cual tiene el valor que apunta a la firma PE/x0/x0.
Si Avira (juraría que es éste) o cualquier otro te detecta eso, es porque generalmente está emulando tu código y al no funcionar al cambiar eso la firma se va.
Te recomiendo poner todo el cuerpo del ejecutable a 0, generalmente en Visual Basic a valor 4096d, o lo puedes mirar con un editor PE el cual te proporcione el valor del SizeOfHeraders.
Con eso sabrás realmente si está en la cabecera.
Un saludo.
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
La parte que te detecta como bien dice TheSwash es la estructura más básica del PE... Lo que ocurre es que si modificas eso el Avira ya no detecta el fichero como un ejecutable válido y ya no lo analiza...
Cual es el nombre de la detección?
|
|
|
|
|
En línea
|
|
|
|
2Fac3R
Desconectado
Mensajes: 267
Sigamos Creciendo...
|
@lukaz
Creo que lo que "crees" o en tu concepto son los offsets detectados, no son otra cosa que el famoso campo del IMAGE_DOS_HEADER, l_fanew el cual tiene el valor que apunta a la firma PE/x0/x0.
Si Avira (juraría que es éste) o cualquier otro te detecta eso, es porque generalmente está emulando tu código y al no funcionar al cambiar eso la firma se va.
Te recomiendo poner todo el cuerpo del ejecutable a 0, generalmente en Visual Basic a valor 4096d, o lo puedes mirar con un editor PE el cual te proporcione el valor del SizeOfHeraders.
Con eso sabrás realmente si está en la cabecera.
Un saludo.
Exactamente a eso me referia con que estes seguro de si esta o no en la cabeera, relee lo que te dice TheSwash y veras a lo que me refiero...
|
|
|
|
|
En línea
|
|
|
|
lucasluks1004
Desconectado
Mensajes: 22
|
Gracias realmente agradezco q el avira me lo detecte ya q estoy aprendiendo bastante ,,gracias de nuevo por seguir contestando con este problema ,,del lordpe tomo el sizeofheaders el cual esta en 00001000 tomo el hex workshop y pongo ese valor en hex todo lo q esta depues lo pongo en 00 lo guardo y aun asi es detectado por lo q sigue estando en la cabecera la firma o eso parace,al hacer esto me tira el avira TR/Crypt.XPACK.Gen mientras q el original me sale TR/Crypt.XPACK.Gen3
|
|
|
|
|
En línea
|
|
|
|
The Swash
Desconectado
Mensajes: 82
Programmer
|
El cambio de firmas, es porque además de las firmas en la cabecera tiene firmas en el cuerpo del archivo, te recomiendo que pruebes el famoso método de reemplazar valores de los distintos offsets, identificar la firma y el sitio donde esté, pero trabaja con el archivo que tenga el cuerpo en 00. Luego identificas con un editor PE sobre que campo recae la firma y vemos que se puede hacer.
Un saludo.
|
|
|
|
|
En línea
|
|
|
|
^DeMoN^
Desconectado
Mensajes: 475
A la Droga Dile NO...Me dejes nunca.
|
Mirate este post hay muchos tips muy interesantes y aparte de eso aparece la firma que tu dices. http://masters-hackers.info/showthread.php?t=4624 Espero que de algo te sirva. Greetz |
|
|
|
« Última modificación: 18 Septiembre 2011, 16:37 por Karcrack »
|
En línea
|
Ustedes controlan nuestras vidas, nosotros sus sistemas. Server: irc.feg2.com 6667 Canal:#Malware |
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Un gran reto: Conseguir info y usar CreateKernelThread()
Programación General
|
Slasher-K
|
4
|
724
|
7 Febrero 2005, 23:43
por NemeSys
|
|
|
|
Os propongo un gran reto, y necesito ayuda
Desafíos - Wargames
|
SkoOrp
|
3
|
1,635
|
12 Marzo 2008, 01:28
por juancho77
|
|
|
[Concurso] Firmas de elhacker.net [ESPERANDO FIRMAS]
« 1 2 3 4 5 »
Battle Arts
|
DarK_FirefoX
|
71
|
16,924
|
18 Julio 2008, 02:00
por Fischer987
|
|
|
|
!!! EL GRAN RETO !!!
Criptografía
|
Neck69
|
10
|
2,763
|
19 Julio 2009, 12:54
por imoen
|
|
|
|
reto:Hack-Web_Spoof+cabecera del protocolo http+añadir ip
WarZone
|
ruben_linux
|
5
|
1,638
|
18 Agosto 2011, 15:37
por ruben_linux
|
 |
