 Autor
|
Tema: manual para destapar los offset malicisosos que detectan los antivirus.... (Leído 44,780 veces)
|
DaViRuS
 Desconectado
Mensajes: 5
¿Tu vida está llena de ceros y unos como la mia?
|
Hola vereis es que con mi troyano no me funciona, bueno, quiero decir que localizo el offset y si lo modifico pues me jode el troyano (pero no lo detecta) aparte me dice lo que veis en esta foto:  En la foto pone todo lo que no entiendo, si alguien puede ayudarme o decirme como hago para que funcione...se lo agradeceré...No se pero me da la sensación de que eso de "Unpack Error" no tiene nada que ver y que da igual...Pero no se...no lo he probado...mi antivirus es el Avast! Free Home Edition (jajajaja no lo detecta ni por asomo...) CONTESTEN PORFAVOR. GRACIAS. |
|
|
|
« Última modificación: 1 Abril 2005, 22:43 por DaViRuS »
|
En línea
|
|
|
|
Chagolin
Desconectado
Mensajes: 3
|
Gran aporte!!!!  Me lei tambien el MANUAL DEL PRORAT V1.9, y kise usar este server para modificar. Encontre que el antivirus Norton detecta la primera linea. 4D5A50000200000004000F00FFFF0000B80000000000 MZP................... Si yo modifico las primeras letras...el server keda inactivo. ¿esta es una especie de firma?... Ayuda!!!!  |
|
|
|
|
En línea
|
|
|
|
DaViRuS
Desconectado
Mensajes: 5
¿Tu vida está llena de ceros y unos como la mia?
|
Hum, pues aver si no me ekivoko, creo que eso basicamente define un tipo de programa, no se, en cualkier aplicacion si la abres con NOTEPAD veras rapidamente MZ o algo asi...
Puede que sea una especie de identificación para saber si es una aplicación o algo...no me hagas mucho caso. No tengo ni idea de eso...Lo que si sé es que en mi troyano (es mio propio no es uno que ya exista de alguna web) pues al abrirlo en HEXADECIMAL el OFFSET que me detecta el NOD32 es el 182 y pone como en el tutorial: PE (que si le añades uno pues la "e" pasa a ser "f" el problema es que al guardar esto, te cargas la aplicación, en concreto la convierte en una especie de ARCHIVO POR LOTES que arranca con MS-DOS y te dice que no es un archivo valido...
¿Porque?
Hasta ahora tengo entendido que PE significa "PORTABLE EXECUTABLE" o algo asi parecido no recuerdo...pues...si lo cambias a PF...no es nada, solo un monton de datos inservibles ya que si lo vuelves de PF a PE vuelve a estar intacta la aplicacion...
¿Misterioso?
pues ni idea...les dejo a los expertos que me ayuden. Ahi teneis arriba mi anterior POST con una foto del escaneo y sus detalles.
SALUDOS. GRACIAS DESDE YA !!!
PD: NOD32 usa el mismo OFFSET que KAV o PANDA???
|
|
|
|
|
En línea
|
|
|
|
|
|
DaViRuS
Desconectado
Mensajes: 5
¿Tu vida está llena de ceros y unos como la mia?
|
JAJAJAJAJAJAJAJAJAJAJAAJAJJAAJJAJAAJAJAJA Y JAAAA!!!
Perdonen...jajaja pero tio que p**a chorrada, despues de mucho probar, me doy cuenta de que el puñetero offset no era ni lo de "PE" ni nada de eso, sino que el "Nombre interno" del fichero era el causante de la detección, pero si lo modificaba con ResHack pues me salia en NOD32 "Unpack Error" así que digo: pues pruebo con Hex Workshop aver si asi....asi que tras eliminar offsets como el de "Nombre interno del fichero" y "nombre interno" pues, WALAP!!! Indetectable...
y para colmo NO FUNCIONA!!!
"Lexuga.exe no es una aplicación Win32 válida."
Con razon no lo detecta.....xDDDDDDDDDDDDD
...TIENE QUE HABER ALGUN MODO, NO PIENSO RENDIRME.
|
|
|
|
« Última modificación: 1 Abril 2005, 11:45 por DaViRuS »
|
En línea
|
|
|
|
Chagolin
Desconectado
Mensajes: 3
|
y como vamos DaViRus??? Yo todavia no le encuentro la ***** de offset  Vamos!!!!!! |
|
|
|
|
En línea
|
|
|
|
DaViRuS
Desconectado
Mensajes: 5
¿Tu vida está llena de ceros y unos como la mia?
|
OFFSET PELIGROSO = Si jodiste el servidor...no haber tocado!
Hum estaría bien que alguien interesado en un nuevo troyano, se pusiera en contacto conmigo para formar una especie de grupo dedicado exclusiva y desinteresadamente al diseño y creación de dicho proyecto iniciado hace cosa de 2 años y que por motivos sin importancia se dejó atrás quedando bastante obsoleto pues, le faltan opciones importantes como keylogger, capturas de imagenes en tiempo real, captura de webcam, explorador de ficheros, ftp y demas cosillas que son inprescindibles, este proyecto fue comenzado por un novato y sigue mantenido por un novato como yo asi pues les invito a colaborar poniendo sus codigos para implementarlos al codigo actual o si apetece, reestructurar todo el codigo....es decir...empezarlo desde 0!
¿La unión hace la fuerza, cierto?
Saludos y espero respuestas...
PD: Moders del foro, Admins....No me movais el POST xD
|
|
|
|
« Última modificación: 1 Abril 2005, 22:52 por DaViRuS »
|
En línea
|
|
|
|
perro_verde
Desconectado
Mensajes: 28
|
Algo para tener en cuenta, a veces los AV detectan uno o varios byte para identificar virus, ese byte casi siempre es parte del codigo (o sea si se modifica , el ejecutable no anda).
Progongo lo siguiente:
Con un buen DEBUG convertimos el ejecutable a codigo ASM, y buscamos en que lugar cae ese byte feo.
Seguro nos encontraremos con alguna orden como MOV AX, 0000. En ese lugar reemplazamos por JMP SALTO1, hacemos un salto a una zona donde haya ceros. En la posicion SALTO1 escribimos el comando anterior; MOV AX,0000 seguido ponemos otro salto para que vuelva al punto de donde saltamos JMP SALTO2.
Con este truco cambiamos el byte pero no el codigo.
En resumen para pasar un cable de una habitacion a la otra , en lugar de hacer un agujero, damos toda la vuelta y entramos por la ventana, y no rompemos nada.
ej:
//comienzo del codigo
...
...
JMP SALTO1 //aca incertamos los byte, ojo no cualquiera
SALTO2: // continua ejecutandoce el codigo.
NOP
NOP
....
//salir
SALTO1:
MOV AX,0000h
JMP SALTO2
....
el comando NOP no hace nada, conviene usarlo para rellenar byte, en hexa se escribe 90h.
el JMP 401002h se escribe --> FF2502104000 hay que dar vuelta el offset.
Buscar bien la zona de ceros, porque algunos lugares estan reservados y otros sobran.
|
|
|
|
|
En línea
|
|
|
|
crtx2
Desconectado
Mensajes: 1
|
Vaya, curiosamente el método que propone perro_verde sale en un artículo de la revista Hack x Crack (PC Paso a paso) de este mes, el número 28, el artículo se llama "¿Puedes fiarte de tu antivirus?", es muy instructivo y muy efectivo por el momento, lo recomiendo a todo el que le interese estos temas. Lo han llamado "el método RiT"  |
|
|
|
« Última modificación: 13 Abril 2005, 21:20 por crtx2 »
|
En línea
|
|
|
|
perro_verde
Desconectado
Mensajes: 28
|
Lo que escribi en la nota fueron un monton de rejuntes de varios autores que lei alguna vez.
Seria interesante ver esa nota que publicaron en la revista, la macana que la revista es paga y no pude ver nada , si alguien encuentra alguna direccion que avise...
|
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
Bueno pues como dice DaVirus lo que haceis al cambiar PE a PF es que el sistema operativo ya no pueda encontrar los datos del ejecutable. PE significa Portable Ejecutable. Asi que si cambiais datos de por ahi cerca es muy posible k el archivo no os rule bien. Lo de MPZ es tambien algo por el estilo para k se sepa k es un ejecutable asi k eso tampoco cambiar . Deberiais aplicar el metodo pero intentando buscar offset altos por encima del 1000. No hay solo un offset suele haber muchos. Investigad aver k descubris. Saludos. |
|
|
|
|
En línea
|
|
|
|
DaViRuS
Desconectado
Mensajes: 5
¿Tu vida está llena de ceros y unos como la mia?
|
Pues tios, yo pasando un poco de esto, la verdad es que no me interesa mucho ya que mi troyano anda en uso privado xDDDDD ijijijiji y las victimas son PAKETES PERO PAKETES PAKETES, vamos q le cuelas un "TeMandoUnVirus.exe" y tan panchos lo aceptan xDDDDD jjajajaja, hay gente pa to....xDDDD (Nota: exagero un poco, pero es una idea...de casos veridicos) en fin...La idea mencionada de ASM...hum, posiblemente, pero, entended que muy pocos conocen de ASM y esto....pues, que se jode igual si tocas mal, xDDDD.
En fin chicos, que yo solo tengo problemas con el NOD32...lo de: "posible virus PE" es lo q me jode.....aunke....bien dice: POSIBLE....o sea....si hago un programita INOFENSIVO, con alguna cosa rara, kien asegura que no me diga lo mismO? apesar de ser inofensiva? jajaja estos antivirus de hoy en dia....>.<' Bueno...hasta pronto!.
|
|
|
|
|
En línea
|
|
|
|
juMMpei
Desconectado
Mensajes: 8
|
Algo similar a lo que dijo fasligando queria decir yo. Yo tengo 4 digitos que si modifico alguno de ellos, el KAV no me lo detecta pero al darle al server.exe para testear me doy cuenta de que abre y cierra rápidamente un ms-dos, y que cuando hace esto el troyano no funciona. Cuando ocurre esto, ¿quiere decir que no se puede hacer el troyano ese indetectable? ¿o se tiene la oportunidad de encontrar la combinación perfecta?
Otra duda. Si tengo un server.exe indetectable, ¿si lo junto con un inofensivo.exe puede ser detectado? En caso de que sea detectado, lógicamente será debido por juntarlos, es decir, un antivirus detecta este tipo de mezclas o como va esto.
Saludos,
Me pasa exactamente los mismo sera que badcode o alguien que sepa a que se debe esto nos puede responder por favor? Gracias nuevamente. y a mi.......ME PASA LO MISMOOOOOOOO Aunque....me paso por ahi q al dividir los numeros en 2, y dije bue no entiendo nada pero sigo dandole. ej. 100000 lo dividi en 50000, y puse a todos en 0. De 50000 dividi en 25000 y todos en 0. **Aca me paso algo extraño, lo guarde con otro nombre, se le fue el icono si ya lo sabemos, pero al ejecutar este nuevo archivo , se abre una ventana nueva del dos por 2 milesimas, se me cierra el panda y pruebo el prorat y me anda!!!! es indectectable no?, o sea, se instalo y me cerro el panda automaticamente y pude hacer andar el server . . . . lo malo es q me salio de casualidad y ya no puedo hacerlo de nuevo por q lo borre al desinfectarlo y no me anduvo mas, osea, me salio pero no etnedi como jojojop
|
|
|
|
|
En línea
|
|
|
|
perro_verde
Desconectado
Mensajes: 28
|
DaVirus; tenes razon en un monton de cosas , pero saber un poco de ASM te da otras alternativas.
A veces te encontras con mucha gente que solo le interesa que el correo y el chat le anden bien en sus maquinas y ademas tener un AV el mas conocido posible, el resto no existe.
Hay gente para todo.
|
|
|
|
|
En línea
|
|
|
|
AITORMIX
Desconectado
Mensajes: 10
Querer es poder
|
Hola a todos! He seuido paso a paso el manual de Badcode y me ha parecido estupendo pero no he logrado hacer indetectable el server del Optix pro v.133 para el Mcaffe almenos. He llegado a que el offset malicioso esta en la primera fila y en las primeras cuatro cifras, pero he probado las mil y una combinaciones y nada, es indetectable pero no funciona. Alguine me podria ayudar diciendome cual he de cambiar o que puedo hacer, un parche quizas..... Gracias  |
|
|
|
|
En línea
|
|
|
|
|
 |
