 Autor
|
Tema: RX Crypter y Avira (Leído 4,734 veces)
|
duna50
 Desconectado
Mensajes: 78
|
Intenro hacer indetectable un crypter, concretamente el RX crypter, para ello, modifico el stub y lo hago indetentable, lo raro es que cuando lo uno al crypter para modificarlo, me lo detecta el antivirus (el Avira).
¿Me podrían decir que hago mal?
Un saludo
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
Cambia la rutina de cifrado del crypter.
|
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
No haces tú nada mal, seguramente sea el crypter el que hace algo mal (o no bien), lo más probable es que Avira (el paranoico) detecte con su heurística que se trata de un ejecutable cifrado, probablemente debido a algún valor del PE mal establecido.
Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
duna50
Desconectado
Mensajes: 78
|
Mis conocimientos son limitados, pero con el hex Workshop, he podido localizar el off set que detecta el Avira en el PE, pero no sé que hacer ahora.
P.D. Cuando le doy valor 00 a dicho off set, el crypter se me queda inservible.
Un saludo
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
Es que no puedes dar el valor que quieras, debes de dar un valor que no altere el funcionamiento, si cambias algo y lo inutilizas es claro que el AV no lo detectara.
|
|
|
|
|
En línea
|
|
|
|
bizco
Desconectado
Mensajes: 698
|
eso de que detecta un offset en la cabecera PE se tendria que mirar. yo creo que detecta que el punto de entrada esta fuera de la sección de codigo (cosa comun en packers etc). es mejor no usar packer alguno y hacer tu propia herramienta para asegurarte que no sera detectada.
|
|
|
|
|
En línea
|
|
|
|
|
 |
