 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 47003 veces)
|
ReyMisterio
 Desconectado
Mensajes: 27
|
otra pregunta. En el signature zero. Haces que se rellenen de ceros (rojo) todo menos lo que esta dentro de los marcadores (que esta en verde). Para asi hacer todo el ejecutable lleno de ceros menos la parte de la firma...
Como Lo hago? yo acerco los marcadores, pero se me hace rojo solamente la parte de dentro. No la de afuera
Como hago para rellenar de ceros la parte que esta fuera de los marcadores y dejar intacta la de dentro?
Me refiero a la pagina 8, la primera fotografia antes de pasar al editor exadecimal.
|
|
|
|
|
En línea
|
|
|
|
^HtCc
Desconectado
Mensajes: 30
I Crash Your Mind
|
MUy bueno el tuto ; )
|
|
|
|
« Última modificación: 09 Febrero 2008, 15:10 por ^HtCc »
|
En línea
|
|
|
|
octalh
Desconectado
Mensajes: 533
"El sueño de la razón produce monstruos"
|
Ami el cryper ese no me funciona con el bifrost. Lo he descargado y ya es indetectable al nod 32 sin modificar nada. Creo el server de bifrost y lo encripto con ese cryper y al intentar infectarme no pasa nada. Sin embargo si lo encripto con el cigi cigi u otro si que me infecto.
A Vosotros es funciona ese cryper con el server de bifrost?
para que te funcione correctamente, cuando el bifrost te dice que antes de dar aceptar le pases un compresor o crypter, en ese momento encryptalo te creara un segundo server sin icono, ese lo cambias por el original y despues en bifrost ya le das en aceptar para que termine de crear el server otra pregunta. En el signature zero. Haces que se rellenen de ceros (rojo) todo menos lo que esta dentro de los marcadores (que esta en verde). Para asi hacer todo el ejecutable lleno de ceros menos la parte de la firma...
Como Lo hago? yo acerco los marcadores, pero se me hace rojo solamente la parte de dentro. No la de afuera
Como hago para rellenar de ceros la parte que esta fuera de los marcadores y dejar intacta la de dentro?
Me refiero a la pagina 8, la primera fotografia antes de pasar al editor exadecimal.
solo tienes que mover las dos indicadores de un extremo a otro salu2 |
|
|
|
|
En línea
|
|
|
|
demolation
Desconectado
Mensajes: 20
|
hey muy buen tuto se te agradece hermano pero tengo una preguntaa ya cuando estoy en el hexa no entiendo muy bien que ahi que hacer ya que no me salen los mismos offsets que te salieron a ti seguro debo de estar haciendo algo mal me podrias ayudar
gracias y saludos
|
|
|
|
|
En línea
|
|
|
|
ebola_30
Desconectado
Mensajes: 517
|
yo he probado el crypter con el poisson 2.3.2 y me crea un archivo pero que no tiene extension .exe. no se si eso es normal o estoy haciendo algo mal. no deberia se seguir siendo un ejecutable el archivo?
gracias por el manual y los programas,esta noche me lo leere con tranquilidad.tiene muy buena pinta.un saludo
|
|
|
|
|
En línea
|
|
|
|
octalh
Desconectado
Mensajes: 533
"El sueño de la razón produce monstruos"
|
hey muy buen tuto se te agradece hermano pero tengo una preguntaa ya cuando estoy en el hexa no entiendo muy bien que ahi que hacer ya que no me salen los mismos offsets que te salieron a ti seguro debo de estar haciendo algo mal me podrias ayudar
gracias y saludos
Recuerda que la firma que yo obtube es del kaspersky, si usas otro antivirus es logico que obtengas firmas diferentes, cada antivirus tiene sus propias firmas. de usar kaspersky entonces si debes obtener el mismo resultado, todo es cuestion de practica ya veras que todo funciona bien. yo he probado el crypter con el poisson 2.3.2 y me crea un archivo pero que no tiene extension .exe. no se si eso es normal o estoy haciendo algo mal. no deberia se seguir siendo un ejecutable el archivo?
gracias por el manual y los programas,esta noche me lo leere con tranquilidad.tiene muy buena pinta.un saludo
verifica que al momento de guardar el archivo encriptado tenga extensión .exe al final del nombre. salu2 |
|
|
|
|
En línea
|
|
|
|
demolation
Desconectado
Mensajes: 20
|
gracias me podrias dar tu msn porfavor?
|
|
|
|
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Se me hace un poco pesado el primer paso del signaturezero, haber si me lo leo mejor, pero aqui os traigo una duda. Ahí dice que si llenamos de 0 una mitad y el AV no lo detecta como tal, es que hemos borrado mitad de la firma o algo asi... y bueno, con eso no bastaría ya???  con tan solo llenar de 0 una pekeñisima parte ya me lo deja indetectable :S en el tutorial dice que debemos llenar de 0 hasta q no lo detecte, pues ami me lo deja indetec. con ponerle a una pekeña parte. lo que kerrás decir es hasta q sea detectable no? kizas eso causa confusión. |
|
|
|
« Última modificación: 09 Febrero 2008, 20:36 por K-19 »
|
En línea
|
|
|
|
ReyMisterio
Desconectado
Mensajes: 27
|
En respuesta a k-19
No, no sirve con solo llenar la mitad de ceros i dejarlo indetectable. Puesto que e ceros que rellenas son offsets del server. Y si eliminas la mitad, el server se queda inservible. Pruebalo y veras (con un server sin inyeccion ni agregarse al registro ni nada..) prueba a llenarlo la mitad de ceros y luego intentar infectarte y veras como no sucede nada. El server queda inservible.
Ahora mis dudas :
para que te funcione correctamente, cuando el bifrost te dice que antes de dar aceptar le pases un compresor o crypter, en ese momento encryptalo te creara un segundo server sin icono, ese lo cambias por el original y despues en bifrost ya le das en aceptar para que termine de crear el server
Como lo cambio por el original? yo pongo build server en el bifrost i me dice que pulse aceptar, antes de pulsar aceptar cojo el xcryper i encripto el server que me crea el bifrost(sin darle aceptar al bifrost) y creo el server encriptado. (he probado a sobreescribirlo y a crear otro diferente) y luego le doy aceptar al bifrost. Y me crea uno que pesa 36kbs sin icono. Que no es detectado pero es inservible ya que no infecta.
solo tienes que mover las dos indicadores de un extremo a otro
No me deja cruzar los indicadores y se rellena la parte que hay entre los 2 marcadores no la parte que hay fuera.
|
|
|
|
|
En línea
|
|
|
|
octalh
Desconectado
Mensajes: 533
"El sueño de la razón produce monstruos"
|
Como lo cambio por el original? yo pongo build server en el bifrost i me dice que pulse aceptar, antes de pulsar aceptar cojo el xcryper i encripto el server que me crea el bifrost(sin darle aceptar al bifrost) y creo el server encriptado. (he probado a sobreescribirlo y a crear otro diferente) y luego le doy aceptar al bifrost. Y me crea uno que pesa 36kbs sin icono. Que no es detectado pero es inservible ya que no infecta.
Reymisterio el crypter tanto con el stub original como con el modificado funciona perfectamente con bifrost yo mismo tengo uno funcionando. verifica que el cryter tiene la ruta del stub, lo que yo hago es lo siguiente, creo un server con bifrost y antes de dar aceptar cuando te pregunta si lo quieres empaquetar o encriptar lo encripto y me crea un server nuevo con otro nombre, borro el server original que tiene el icono y en su lugar pongo el que esta encriptado con el nombre server.exe, despues procedo dar aceptar y listo. respecto a lo del signaturezero creo que si ya te diste cuenta que lo que esta en el centro de ambos marcadores es lo que se llena de ceros pues solo tienes que mover esas dos lineas a donde quieras, para llenar de ceros el area que te convenga. no es cosa de imitar el dibujo de la ilustracion es cosa de que aprendas a encontrar las firmas, sino entonces no tiene caso. estaria bien que te tomes el tiempo suficiente para realizar las pruebas necesarias con las herramientas y encontraras la forma correcta de utilizarlas. salu2 |
|
|
|
|
En línea
|
|
|
|
Agk3471
Desconectado
Mensajes: 2
|
octalh, lee mi MP porfavor.
Te lo agradecería mucho si me puedes ayudar con eso.
|
|
|
|
|
En línea
|
|
|
|
ReyMisterio
Desconectado
Mensajes: 27
|
Gracias por tus respuestas! Tranquilo practicare un tiempo hasta que le pille el truquillo
|
|
|
|
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Grandioso ya encontre la firma para el kaspersky, que por cierto no es la misma que la que te da a ti, o en la imagen sale esa por que tu quicistes que la gente no se "copie" ?? igualmente bien hecho.
|
|
|
|
« Última modificación: 09 Febrero 2008, 23:12 por K-19 »
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Por cierto una duda que tengo, no me hizo falta usar el Hex WorkShop porque al parecer con el SignatureZero la firma la deje bien cercada  ¿Eso es bueno?  EDITADO: En la página 13 dices que hay que dar click derecho en la ventana CPU y darle a view y luego executable file, pues yo la opción view no la tengo al darle click derecho  y eso porque razón?? usas tu una versión diferente?? mira lo que me sale ami:  |
|
|
|
« Última modificación: 09 Febrero 2008, 23:47 por K-19 »
|
En línea
|
|
|
|
octalh
Desconectado
Mensajes: 533
"El sueño de la razón produce monstruos"
|
Bueno yo utilizo el siganturezero solo para encontrar rapidamente la firma, pero como siempre me ha gustado saber la firma "exacta" sin un offset de mas ni uno de menos XD, utilizo el editor para cercarla al maximo. imaginate antes de que thor inventara el zignature lo tenia que hacer a mano con un editor hex, entonces si era mas pesado, pero con el zignature es muy rapido y ya es poco lo que haces con el editor HEX en lo del olly te dejo una captura de pantalla  salu2 |
|
|
|
|
En línea
|
|
|
|
|
 |
