Tema destacado: Entra al canal IRC oficial de #elhacker.net
 Autor
|
Tema: problema con bifrost y flux (Leído 869 veces)
|
eloko
 Desconectado
Mensajes: 187
|
hola
tengo un problema con bifrost y flux,
cuando trato de hacerlo indetectable con el metodo rit en el paso de hacerle un hueco con el programa Topo me deja inserbible el server
porfavor que alguien me ayude a como slocionar este problema
salu2 8)
|
|
|
|
|
En línea
|
Intel Core 2 Duo E4300 & BigTyphoon 1800Mhz@3600Mhz @ 24/7 2.88ghz
Corsair Value 2x1gb 5-5-5-12 2t 1.8v 667mhz@870mhz @ 6-5-5-5-12 2t 948mhz 2.1v
MSI P35 Platinium Bios v1.3
XFX 7900GT 256MB 1.4ns & Zalman VF-900cu 520/750 1.2v
WD 160gb 8mb buffer 7200RPM SataII
ThermalTake Toughpower 750w W0117 12vx4 18Ax4
LG GSA-H62N 18x Sata DVD-RW
ViewSonic E70F+ UltraBrit 17”
GNU/Linux Debian Lenny
|
|
|
|
Simbelmynë
|
Procura no agregar secciones al ejecutable ya que puede darte errores, siempre escribi sobre los bits de las secciones ya presentes, preferiblemente sobre el modulo ejecutable, descomprimi el archivo que vas a perforar siempre antes...
Espero te sirva saludos
|
|
|
|
|
En línea
|
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
Otro consejo mas:
-Asegurate que cuando uses topo NO chequees la opcion de redireccionar Entry Point.
|
|
|
|
|
En línea
|
|
|
|
|
daperci
|
Con el topo tienes que agregarle unos 100k y solo en la parte ejecutable del programa. Selecciona la opcion que dice agregar los bytes dentro del ejecutable y NO la de crear secciones nuevas. Selecciona la opcion "exec only" Salu2 www.indetectablex.tk |
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Lo de los 100 bytes es relativo, depende el lugar que topo nos indique que podremos utilizar, en un archivo muy pequeño, tal vez no encontremos un espacio de 100 bytes, por lo que si le agregamos mas de lo que se puede seguramente traera inconsistencias. Por el contrario si el archivo es grande, 100 bytes puede ser poco (esto no va a perjudicar el correcto funcionamiento, pero no te olvides que cada salto que haces en esa zona te esta consumiendo 5 bytes, mas lo que te ocupan las instrucciones que moves, estamos hablando de un promedio de 10 bytes (aproximacion) lo que solo te permitiria trasladar 10 firmas mas o menos, algunas mas algunas menos...
Para hacer el bifrost indetectable me vali de un espacio de 200 bytes y casi me quedo corto...
Exitos.
|
|
|
|
|
En línea
|
|
|
|
eloko
Desconectado
Mensajes: 187
|
hola
ya segui todos los pasos hacer el hueco con el topo despues abrir el olly buscar el offset que detecta el av despues copiarlo pegarlo en el NOP despues ir al offset en memoria y hacerle el assemble y ponerle JMP y el numero donde se encuentra el NOP despues lo escaneo y no me lo detecta el antivirus hasta ahi todo bien, pero a la hora de infectarme yo mismo para pobrar, si se me infecta se me abre el puerto todo bien pero no me notifica el cliente y no me puedo conectar, en cambio si abro el original se me infecta todo y si me notifica el cliente y se me conecta
ese es el problema que tengo, aver si me pueden ayudar
Salu2
|
|
|
|
|
En línea
|
Intel Core 2 Duo E4300 & BigTyphoon 1800Mhz@3600Mhz @ 24/7 2.88ghz
Corsair Value 2x1gb 5-5-5-12 2t 1.8v 667mhz@870mhz @ 6-5-5-5-12 2t 948mhz 2.1v
MSI P35 Platinium Bios v1.3
XFX 7900GT 256MB 1.4ns & Zalman VF-900cu 520/750 1.2v
WD 160gb 8mb buffer 7200RPM SataII
ThermalTake Toughpower 750w W0117 12vx4 18Ax4
LG GSA-H62N 18x Sata DVD-RW
ViewSonic E70F+ UltraBrit 17”
GNU/Linux Debian Lenny
|
|
|
piperrak
Desconectado
Mensajes: 277
¡Amo YaBB SE!
|
Pues esta claro, te has cargado el server. Algun paso has echo mal, ya que a pesar de que no suelo utilizar un metodo de esos (demasiado largo), si que funciona, y bastante bien (yo tb lo he probado)
|
|
|
|
|
En línea
|
|
|
|
eloko
Desconectado
Mensajes: 187
|
puede ser que el offset que ocupo para hacer el salto es importante para el server???
y que metodo usas para hacerlo indetectable podrias explicarlo?
Salu2
|
|
|
|
« Última modificación: 31 Agosto 2005, 21:06 por eloko »
|
En línea
|
Intel Core 2 Duo E4300 & BigTyphoon 1800Mhz@3600Mhz @ 24/7 2.88ghz
Corsair Value 2x1gb 5-5-5-12 2t 1.8v 667mhz@870mhz @ 6-5-5-5-12 2t 948mhz 2.1v
MSI P35 Platinium Bios v1.3
XFX 7900GT 256MB 1.4ns & Zalman VF-900cu 520/750 1.2v
WD 160gb 8mb buffer 7200RPM SataII
ThermalTake Toughpower 750w W0117 12vx4 18Ax4
LG GSA-H62N 18x Sata DVD-RW
ViewSonic E70F+ UltraBrit 17”
GNU/Linux Debian Lenny
|
|
|
|
Simbelmynë
|
Algunas instrucciones como habras leido no pueden trasladarse, como por ejemplo los push, pero tambien es relativo, recuerdo haber llegado a mover jmp inclusive. Para evitarte estos problemas proba moviendo instrucciones del tipo mov, lea, sbb y fijate, esto no te garantiza el exito.
Suerte
|
|
|
|
|
En línea
|
|
|
|
eloko
Desconectado
Mensajes: 187
|
mucha gracias por las aclaraciones segui sus consejos
ahora logre hacerlo indetectable ante las firmas de nod32
ahora probare para mcafee y norton.
Salu2
|
|
|
|
|
En línea
|
Intel Core 2 Duo E4300 & BigTyphoon 1800Mhz@3600Mhz @ 24/7 2.88ghz
Corsair Value 2x1gb 5-5-5-12 2t 1.8v 667mhz@870mhz @ 6-5-5-5-12 2t 948mhz 2.1v
MSI P35 Platinium Bios v1.3
XFX 7900GT 256MB 1.4ns & Zalman VF-900cu 520/750 1.2v
WD 160gb 8mb buffer 7200RPM SataII
ThermalTake Toughpower 750w W0117 12vx4 18Ax4
LG GSA-H62N 18x Sata DVD-RW
ViewSonic E70F+ UltraBrit 17”
GNU/Linux Debian Lenny
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
Una pekeña correccion, los push si que se pueden desplazar, siempre que usemos jmp para hacer estos desplazamientos. En hxc me acuerdo que para hacer los saltos usaban CALL y para regresar RETN y ahi no hay k tocar ningun push pork cuando usas call se guarda en la pila la direccion de regreso para k RETN sepa donde volver (o algo asi). Conclusion: -Si para realizar los saltos usais JMP podeis mover PUSH, JMPs, ect.. lo unico que no me atreveria a mover seria un CALL -Si para relaizar los saltos usais CALL no movais PUSH, POP's pork pondreis valores en la pila que es problable k lleven a la inestabilidad  . No estoy muy seguro ehh? pero creo k es asi. Otra cosa mas, cuando al lado de una instruccion en el olly dbg pone ">" es que ha esa intruccion apunta un salto por lo que mejor no mover esa instruccion. (podriais corregis los saltos que apunten a la instruccion :S) Espero que os sirva de ayuda. |
|
|
|
|
En línea
|
|
|
|
|
Simbelmynë
|
Ja! con razon pude saltar un JMP el otro dia... no lo sabia...
Igualmente mover los PUSH es algo que siempre me termino dando errores, pero no se que logica seguira despues de todo, en mas de una ocasion intento saltar un MOV o LEA y tambien me da errores :S
En fin... gracias thor...
A todo esto que es lo que hacen precisamente los POP???
Saludos
|
|
|
|
|
En línea
|
|
|
|
eloko
Desconectado
Mensajes: 187
|
lo hice indetectable el flux para nod32 y mcafee el unico problema esque la captura de la pantalla no se puede se desconecta el server,
pero en fin lo hice de la siguiente manera
algunos valores 00 los converti en NOP ahi hice un salto con la firma que detecta el nod32, pero para mcafee no me resultaba hacerle un salto entonces lo que hice fue convertir el offset en NOP. Resulto del todo bien lo unico la captura de la pantalla
cuando sale eso: 0000 ADD BYTE PTR DS:[EAX],AL
¿significa que tiene valor cero? ¿o me equivoco?
Salu2
|
|
|
|
|
En línea
|
Intel Core 2 Duo E4300 & BigTyphoon 1800Mhz@3600Mhz @ 24/7 2.88ghz
Corsair Value 2x1gb 5-5-5-12 2t 1.8v 667mhz@870mhz @ 6-5-5-5-12 2t 948mhz 2.1v
MSI P35 Platinium Bios v1.3
XFX 7900GT 256MB 1.4ns & Zalman VF-900cu 520/750 1.2v
WD 160gb 8mb buffer 7200RPM SataII
ThermalTake Toughpower 750w W0117 12vx4 18Ax4
LG GSA-H62N 18x Sata DVD-RW
ViewSonic E70F+ UltraBrit 17”
GNU/Linux Debian Lenny
|
|
|
Thor
Desconectado
Mensajes: 1.176
|
PUSH mete un valor en la pila y POP lo saca.
0000 ADD BYTE PTR DS:[EAX],AL
Eso son ceros, pero el ollydbg lo interpreta como una instruccion rarra.Asi que eso tmb se pueden utilizar como hueco.
eloko: ¿conseguistes saltarte la heuristica de NOD 32?
|
|
|
|
« Última modificación: 16 Junio 2006, 02:40 por Thor »
|
En línea
|
|
|
|
eloko
Desconectado
Mensajes: 187
|
la heuristica de nod32 no la consegui saltar pero bueno lo mas relevante es saltarse norton, mcafee y panda porque son los mas utilizados por usuarios comunes (porque son marcas conocidas)
Salu2
|
|
|
|
|
En línea
|
Intel Core 2 Duo E4300 & BigTyphoon 1800Mhz@3600Mhz @ 24/7 2.88ghz
Corsair Value 2x1gb 5-5-5-12 2t 1.8v 667mhz@870mhz @ 6-5-5-5-12 2t 948mhz 2.1v
MSI P35 Platinium Bios v1.3
XFX 7900GT 256MB 1.4ns & Zalman VF-900cu 520/750 1.2v
WD 160gb 8mb buffer 7200RPM SataII
ThermalTake Toughpower 750w W0117 12vx4 18Ax4
LG GSA-H62N 18x Sata DVD-RW
ViewSonic E70F+ UltraBrit 17”
GNU/Linux Debian Lenny
|
|
|
|
 |
