Un manual mas, bueno lo primero decir que nadie piense que con esto se pueden hacer todos los troyanos indetectables y que funcionen, pero si que dependera de a que antivirus queramos burlar, por ejemplo kav toca partes delicadas del server, asi que modificarlas es cargarselo, no siempre.Luego norton o mcafee eligen partes como el titulo,el creador, vamos cosas menos importantes, pero bien aqui aprenderemos a buscar al culpable de que los antivirus se alarmen.


Bueno aquí una técnica algo engorrosa de buscar el offset designado por kaspersky, he de recordad que existe el programa avp offset para ello , no se si aun funcionara, pero este manual es para usarlo para todos los antivirus....

Empezaremos por bajarnos un editor hexadecimal, yo uso el hex workshop, eso a cada gusto de uno.Lo primero es una vez ejecutado el hex, es ir a file y darle a open, bien ahora toca buscar el server del troyano a retocar, una vez cargado nos aparecerá todo el rollo alfanumérico, bien apreciamos los offset que están numerados en hexadecimal, le damos a options y a file offset y elegimos decimal, así tenemos mas claro los offset enumerados....

Nos vamos hasta el final del archivo, con ctrl+fin, vemos esto............



bueno al grano, porque señalo el 00030120?, porque nos dice el total de offset que hay, vamos a dividir en dos, para ello 00030120 entre 2 nos da 00015060.

Vale vamonos al 00015060, como?, darle a  control+g, pon ese numero de offset y dale a beginning of file....



bien estamos en la mitad del archivo, vamos a llenar de ceros la otra mitad osea desde 00015060 hasta el principio, sombrea hasta llegar a 0000000, dale a control+ins, y le das a ok, ahora todo lo sombreado esta a 0.......



vale, ahora hemos eliminado del nuke una mitad de datos al llenarla de  ceros, que pasa si guardo el archivo y kav me detecta el archivo en cuestión?, nos indica que en la otra mitad la que si que tiene datos, están los offset malignos jeje, me vais pillando la idea?.
Sigamos darle a  file y a save as, ponerle u nombre nuevo al guardarlo el exe, jaja no os carguéis el original.....

Pasamos el kav, ohhhh, no dice nada, y siempre me lo detectaba, vale esto quiere decir que de 00000000 a 00015060, están los offset malignos, cargar de nuevo el server, ahora a dividir 00015060 entre 2, toca sombrear de 0007530 a 0000000, seguir el mismo ejemplo que antes pero esta vez sombrear desde 0007530 a 0000000.

Ahh el kav no dice nada, bien ya sabemos que entre 0000000 a 0007530 anda el juego, bien dividamos ese 0007530, 0003765 a 0000000, a llenar de ceros venga, vuelve a cargar el original y llena de ceros......

Ah aun no lo detecta, sigamos cercando el asunto, a dividir 0003765 entre 2, 0001882 a 0000000, lo de siempre repetir lo mismo....

Jajaja, mas de lo mismo, 00000941 a 000000000, ohh a dividir 00000941 entre 2, que rollo eh?.

Siguiendo estos pasos llego a darme cuenta que 00000200 a 00000000 esta el offset, aquí se pone mas pesado este procedimiento, yo voy de dos líneas en dos líneas rellanándolas de ceros, hasta que llego a rellenar 00000140 y la 00000120, oh aquí el antivirus no me detecta nada, dejo sola llena de ceros el offset 00000120, vaya no detecta nada el kaspersky, toca ver del offset 00000120 que parte es la que el antivirus eligió para detectar este nuke...



ohh pone ahí algunas letras que forman la palabra pelo?, jaja, vamos a ver que pasa si cambiamos una letra.



Si he marcado el numero 5045 y lo e cambiado el numero 5046, la e de pelo, es ahora una f lo veis donde lo e señalado?....

Vale ahora mismo es indetectable, hay que ver que sea funcional, primero diré que ni kav ni panda lo detectan, vaya panda usa el mismo ofsset que kav, bien norton y mcafee no detectan nunca el msnnuke, bien como hemos realizado un cambio en un offset o funciona o nos cargamos el nuke, esto es así, entender que kav por ejemplo elige offset clave de un server para si es modificado que el server no funcione, norton elige las mayores paridas del programa como offset a detectar.

Aclarar que esto es un ejemplo , alomejor es lioso lo que os digo, pero pensar que es hacer un cerco al offset ir tapando de ceros unas partes para que otras nos digan donde esta el offset, ir achicando hasta dar con el, si es un método pesado, pero no deja de ser método, y ami  este método me dejo un bonito sub7 que aun hoy en día, nadie detecta jajajaja.tendreis que probar y probar de cambiar la parte elegida por el antivirus.

Bueno hay otras técnicas por este mundillo menos engorrosas, pero así sabemos con seguridad  porque el antivirus salta, todo es luego hacer pruebas, tener en cuenta que pueden elegir mas de un offset, bueno poco a poco me reincorporo al foro tras unos meses apretadillos, nos vemos, un saludo y dejare el post abierto ya que, saldran dudas, lo e intentado explicar ehh no me jodais jaja ...

Muy bueno...
Yo tb uso WinHex
Un saludo y gracias!

Wenas !!!

Pos nada que me lei tu manual Badcode y es muy bueno jeje xo tengo una duda,tal vez sea x mi falta de ingles xo en fin .....!!

Veras he encontrado el offset que detecta kav en el prorat xo una vez lo tengo en tu manual  cambias un numero es decir si por ejemplo es 6501 le pones 6502  pues bien eso es lo que no me aclaro a hacer  xq no se que cambiado que mientras lo detectaba salia el icono que le habia puesto luego no,por supuesto que no me ha funcionado xo tal vez sea x eso a ver si alguien puede explicarme como cambiar el offset o el numero ese...

Gracias x el manual muy weno !!

Salu2 !!!

Gracias Badcode xo me refiero al hecho de cambiar el offset o el numero,como lo hago si por ejemplo el que detecta es 10023  para poner  10024  lo pongo directamente o hay alguna opcion en el editor para hacerlo??

Por lo demas probar a ver eso esta claro jeje !!

Gracias !!

con la opcion de fill cambias los offset, eso si tienes el hex work, bueno decir que un dia en otra web publicamos los offset que no detectaba kav, y kav rectifico jajaj, estos de kav se meten en foros, los jodidos.....

saludos.

bien, hace un tiempo ya , en otro foro, publicamos los offset que kav detectaba, nos sorprendio lo rapido que acutalizaban las bases de datos respecto a esos offset.Kav pone dificil las cosas, elige partes esenciales de los troyanos, en fin este manual mejor para norton,mcafee,panda,ect......

les cuento q cambie eran los 4 primeros numeros de la fila 0000 osea 5a4d creo entonces cambie a 4a4b y no funciono mas el troyano el antivirus norton no lo detecta pero yo tampoko puedo usar al troyano.

Si me suena esa pagina, , me suena predikator_31337 , por cierto ahi estan esas herramientas que ya no se encuentran como el extension creator....