 Autor
|
Tema: manual para destapar los offset malicisosos que detectan los antivirus.... (Leído 44,780 veces)
|
Antoine
 Desconectado
Mensajes: 18
|
[ He seuido paso a paso el manual de Badcode y me ha parecido estupendo pero no he logrado hacer indetectable el server del Optix pro v.133 para el Mcaffe almenos.
He llegado a que el offset malicioso esta en la primera fila y en las primeras cuatro cifras, pero he probado las mil y una combinaciones y nada, es indetectable pero no funciona.
Alguine me podria ayudar diciendome cual he de cambiar o que puedo hacer, un parche quizas.....
Hola:
tuve el mismo problema que tu al hacerlo para el server del bifrost. No toques offset como: 4D5A ¨MZ¨ , E800, 5054 ¨PE¨,.. ya que son offset claves para el funcionamiento del server y si los borras lo haces indetctable pero a su vez inservible. Mira en offset a partir mas o menos del mil y ten en cuenta que suele haber mas de uno.
Suerte y un saludo. |
|
|
|
|
En línea
|
|
|
|
fvallar
Desconectado
Mensajes: 11
|
Siguiendo el hilo comentare que para solucionar el tema de cambiar los "numeritos" conel Hex, lo mejor es apuntar los offset, y mediante el "topo" abiri un hueco al final de archivo exe, mediante el olly copiamos el codigo de estos offset firma y les pegamos el hueco que nos creo el "topo" de esta misma manera hacemos que apunte al final del archiovo cada linea movida, y se recompila y ya tenemos separadas las firmas y el server pita. Esta muy bien explicado en HackXcrack, y le denominan algo como metodo Rit. Si teneis interes ya los explico un poqiuto mas
Nyez
|
|
|
|
|
En línea
|
|
|
|
|
|
softx
Desconectado
Mensajes: 68
¡Amo YaBB SE!
|
TE QUERIA HACER UNA PREGUNATA naragorn18 CUANDO ENCRIPTAS EL SERVER ES INDETECTABLE LO SCANEAS CON CUALQUIER ANTIVIRUS Y NINGUNO LO DETECTA PERO CUANDO LO EJECUTAS SE descifra EN MEMORIA Y AHI EL ANTIVIRUS DETECTA LAS SIGNATURAS.
PUEDE ESTAR EBCRIPTADO PERO EN ALGUN MOMMENTO SE descifra Y QUEDA EL CODIGO ORIGINAL EN LA MEMORIA ALTA AHI DONDE EL ANTIVIRUS LO DESCUBRE.
SALUDOS Y DECIME SI ME EQUIVOCO
|
|
|
|
|
En línea
|
|
|
|
naragorn18
Desconectado
Mensajes: 17
|
creo k si yo no uso encriptacion, yo encuentro los offsets y sacando la idea del video de copiar codigo(del offset kdetecta) al final usando JMP y NOP y lo hago indetectable y no me lo detecta cuando abro el server
|
|
|
|
|
En línea
|
|
|
|
Damned
Desconectado
Mensajes: 58
HackDam.TK
|
Me parece estupendo este manual, pero tengo un problema, a mi los numeros decimales a la izquierda no me van de 20 en 20 como le van a usted, me van de 28 en 28...
A usted: 00030020 / 00030040 / 00030060....
A mi: 00036400 / 00036428 / 00036456...
Y al dividirlo entre 2 resulta que el numero que da como resultado no se encuentra en el archivo.
El codigo acaba en 00072380, al dividirlo entre 2 da: 00036190
Y esa cifra no se encuentra en el archivo.
Solo eso, si me pueden ayudar. :| (El servidor del trojan"Bifrost")
|
|
|
|
« Última modificación: 14 Julio 2005, 02:13 por Damned »
|
En línea
|
 Leo... pero me da pereza... Lo intento... pero me sigue dando pereza... Total... Gandulitis aguda xD |
|
|
bigsnake
Desconectado
Mensajes: 626
|
eso es pk lo tnes dividido en 8 columnas,expandelo hasta llegar a 10
|
|
|
|
|
En línea
|
|
|
|
bigsnake
Desconectado
Mensajes: 626
|
bueno,yo tenia una dudilla,podrian decirme pork puedo cambiar estos tres valores para k sean funcionales(para k desempeñen la misma funcion)
estos son:
8E11 E3BC 2DEC
gracias!!
|
|
|
|
|
En línea
|
|
|
|
bigsnake
Desconectado
Mensajes: 626
|
ademas tmpoco se d ande bajar el avpoffset.exe...
|
|
|
|
|
En línea
|
|
|
|
Damned
Desconectado
Mensajes: 58
HackDam.TK
|
Te refieres a darle clic derecho > Offset / index by > Byte ( Default) - Word (2 bytes) - Dword (4 bytes) ??
|
|
|
|
|
En línea
|
Leo... pero me da pereza... Lo intento... pero me sigue dando pereza... Total... Gandulitis aguda xD |
|
|
piloto44
Desconectado
Mensajes: 8
No hagas lo que no quieras que te hagan........
|
Hola a todos
Este método está muy bien y es muy eficaz si sabes usarlo. Pero pienso que es bastante complicado o más bien largo.
Mi opinión es que es un manual que todos lo deberíamos de conocer, ya que te viene muy bien en ciertas ocasiones. Pero existen varios programas que te sacan automaticamente las firmas de los AVs. Por ejemplo: AV DEVIL 2, este software funciona con la mayoría de los AVs, y os aseguro que os ahorraréis mucho tiempo.
También deciros que podéis usar compresores, encriptadores,método RIT, etc.... para hacerlo indetectable (en fin, que no solo consiste en modificar un byte o dos, que existen varias formas de hacerlos indetectables).
Espero que os sirva!!
SALUDOS.
|
|
|
|
« Última modificación: 31 Julio 2005, 17:14 por piloto44 »
|
En línea
|
P I L O T O @@@@@
|
|
|
AdReNaLiNe
Desconectado
Mensajes: 115
|
ola a todos,mirad,soi un poco nuevo en esto de indetectables los troyanos y la verdad,no me entero  ,e intentao hacer indetectable el bifrost con el hex work shop pero es mu difici  cuando yego a un cierto numero y lo divido por 2 (supongamos k el 506),el antivirus no me lo detecta ni poniendo desde el 253 hasta 0 todo en 0,ni poniendo desde 253 hasta 506 todo en 0,y yo me pregunto, K PASA AKI??? jejejeje,bueno,si me pudieran resolver el problema... Tambien,aparte de lo de arriba,el hex workshop no me va de 20 en 20,sino de 28 en 28, osea de 0 a 28,luego a 56,luego a 84,etc,si me pudieran ayudar tmb en esto jeje? gracias y saludos a to dios jejeje |
|
|
|
« Última modificación: 3 Agosto 2005, 18:28 por sergi_mdm »
|
En línea
|
|
|
|
wowbighacker
Desconectado
Mensajes: 20
|
mejor lo q hice yo: me baje el procdump fui viendo lo q podia editar en cuanto a sections y directory, y lo que se podia editar puse lo mismo que salia en mi antivirus nod32. Me explico mejor... estas son las sections del server  buesq cuales se podian editar y las q se podian editar las cambie por las sections del nod32 huahua. y ademas use el iexpress.. ahora mi server es indetectable |
|
|
|
« Última modificación: 25 Agosto 2005, 02:36 por wowbighacker »
|
En línea
|
|
|
|
|
Bourne Ultimatum
|
no entiendo como hiciste eso
|
|
|
|
|
En línea
|
"El pertenecia a esa clase singular de hombres que la especie produce rara vez, en quienes el ansia de poder ilimitado es tan extremo que para conseguirlo cualquier sufrimiento parece natural" Ernesto CHE Guevara http://www.desdeabajorugby.com.ar |
|
|
((¯`»X140L31«´¯))
Desconectado
Mensajes: 12
|
mejor lo q hice yo: me baje el procdump fui viendo lo q podia editar en cuanto a sections y directory, y lo que se podia editar puse lo mismo que salia en mi antivirus nod32. Me explico mejor... estas son las sections del server buesq cuales se podian editar y las q se podian editar las cambie por las sections del nod32 huahua. y ademas use el iexpress.. ahora mi server es indetectable si no s muxo pedir wowbighacker pueds explicarlo mjor??ad+ la imagen esa creo q tapa algo d texto ??? si as consegido hacerlo indetectable xfavor dime cm explicalo paso a paso i q t as dscargado plis ;)gracias P.D.: xfavor algien puede responder a las preguntas????sq yo tmpoco veo la carpeta esa d KAV llamada "bases" i no ncuentro ningun arxivo d esos ???AYUDEN XFAVOR!!!!!
|
|
|
|
« Última modificación: 4 Septiembre 2005, 02:34 por ((¯`»X140L31«´¯)) »
|
En línea
|
|
|
|
|
 |
