Tema destacado:
 Autor
|
Tema: OFFSET del poison 2.3.2 (Leído 2,997 veces)
|
filer
 Desconectado
Mensajes: 35
|
Hola estoy siguiendo el tuto de "OCTALH" esta muy bien echo,en el tutorial utilize el programa "ZignatureZero" donde el offset quedaba exactamente DESDE 519 HASTA 1031 y subes 1 numero mas es detectado el problema llego cuando paso al "Hex Workshop 4.2" donde la posicion 519 y 1031 no se representa igual que en el "ZignatureZero"
¿Cual es la posicion en el Hex Workshop 4.2?
|
|
|
|
|
En línea
|
|
|
|
|
|
Gabrunix
Desconectado
Mensajes: 177
Gabrunix web http://www.gabrunix.cl.kz
|
amigo ten cuidado con eso por que es imposible que hayan puesto tan solo una sola firma a un troyano tan conocido como poison tendrás que currártela varias veces ya que tapando una no te lo dejara indetectable
y lo del signaturezero, ponlo para que te muestre en hexadecimal al igual que en el hexworckshop
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Yo estoy modificando el bifrost para que me genere servers indetectables y me encuentra 3 firmas, así que en el poison tiene que pasar algo parecido. En el SignatureZero puedes poner para que te ponga los offsets en hexa, y si ya tienes su ubicación exacta, puedes saltarte la parte del hexworckshop.
Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
|
filer
Desconectado
Mensajes: 35
|
Como puedes detectar 3 firmas???
Por ej: Tienes claro que esta un offset en un cacho grande del posion ¿como sabes que existen otras partes? ya que si dejas libre una parte del codigo por la mitad te lo a detectar el antivirus
OFFSET
I-----------------I
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
Mira, aquí puedes ver como lo hago: www.usuarios.lycos.es/edusv . Lo hice para probar el programa con que grababa para hacer mi videotutorial, pero a ti te puede servir para eso, ya que detecta más de una firma. Creo que no acaba el proceso, pero se trata de cuando tengas una firma, la apuntas, la rellenas de ceros y repites el proceso con el otro trozo. Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
filer
Desconectado
Mensajes: 35
|
He seguido tu video tutorial y me ha servido lo malo es que tengo que tener el antivirus (kaspesky 7) activado entonces me detecta el ZignatureZero y el server como herramienta hacker y en el server como virus y si cierro el anti-virus y arranco el ZignatureZero y abro el server despues arranco el anti-virus y no me detecta nada.
¿Como hago para que la herramiento "Probar" funcione?
¿Como puedo abrir el troyano antes de que me lo detecte el Anti-virus?
|
|
|
|
« Última modificación: 10 Marzo 2008, 19:44 por filer »
|
En línea
|
|
|
|
|
[Zero]
|
Para que te funcione, tienes que tener la carpeta donde tienes el signaturezero excluida de los análisis del AV. Otra cosa importante es que no excluyas las subcarpetas, sólo la carpeta contenedora del SignatureZero. En el Kav 7 creo que para excluir carpetas es en: Configuración//Amenazas y exclusiones//Zona de confianza. Ahí le das a agregar y no marques la casilla de excluir subcarpetas. Espero que te sirva.
Saludos
PDTA: Eso no era el videotutorial, era una prueba, haber si pongo pronto en videotutorial.
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
filer
Desconectado
Mensajes: 35
|
Donde meto el server??
me lo detecta el kaspesky 7 antes de abrilo con el signature zero
|
|
|
|
« Última modificación: 10 Marzo 2008, 20:22 por filer »
|
En línea
|
|
|
|
|
[Zero]
|
En la misma carpeta que el SignatureZero, para que no te lo pille. Espero que ya estes aclarado  Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
oijkn
Desconectado
Mensajes: 6
|
Muy bueno aporte  estoy esperando tu video cuidate bro |
|
|
|
|
En línea
|
|
|
|
|
 |
