 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 46998 veces)
|
|
|
lubydj
 Desconectado
Mensajes: 11
|
lo hago clavado y no me funciona el server de bifrost eso si keda indetectable no se que hago mal si me ayuda alguien y le paso el stub modificado haber que es lo que pasa por favor
|
|
|
|
|
En línea
|
|
|
|
demolation
Desconectado
Mensajes: 20
|
muy bueno el tuto me sirvio desafortunada no me sirve el stubb creo que es por el vista pero en fin alguien me dice si es lo mismo para cambiarle las firmas al server directamente bueno gracias
saludos
|
|
|
|
|
En línea
|
|
|
|
kicking people
Desconectado
Mensajes: 210
|
Buenas, utilice el manual para el stub indetectable al Antivir XP, lo logré y funciona perfectamente, encripta el archivo y el archivo que encripta sigue funcional. El único problema es que al archivo que encripta (server.exe) lo sigue detectando el AV, ¿por qué sucede esto?. ¿Será porque las firmas a ese archivo se las aplicaron una vez encriptado?. Saludos!
|
|
|
|
|
En línea
|
|
|
|
lubydj
Desconectado
Mensajes: 11
|
haber asi me kedo
el 10023fb es el cambiado
100023F1 . E8 86F6FFFF CALL <JMP.&kernel32.LoadLibraryA> ; \LoadLibraryA
100023F6 . 8BD8 MOV EBX,EAX
100023F8 . 8D4D E8 LEA ECX,DWORD PTR SS:[EBP-18]
100023FB .- E9 1C4C0000 JMP stubMODI.1000701C
10002400 > B8 3C260010 MOV EAX,stubMODI.1000263C
10002405 . E8 A2F8FFFF CALL stubMODI.10001CAC
1000240A . 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
1000240D . E8 46F3FFFF CALL stubMODI.10001758
en el hueco :
1000701A 90 NOP
1000701B 90 NOP
1000701C > BA 10260010 MOV EDX,stubMODI.10002610
10007021 . B8 90909090 MOV EAX,90909090
10007026 .- E9 D5B3FFFF JMP stubMODI.10002400
1000702B 90 NOP
1000702C 90 NOP
1000702D 90 NOP
1000702E 90 NOP
1000702F 90 NOP
haber quien me dice por que no me funciona si lo hago igual
saludos
|
|
|
|
|
En línea
|
|
|
|
ajerick
Desconectado
Mensajes: 8
|
estan rotos los enlances para descargar el manual y los programas?
no los puedo bajar.
|
|
|
|
|
En línea
|
|
|
|
eXcEteRa
Desconectado
Mensajes: 18
|
No me tiran una respuesta ?
|
|
|
|
|
En línea
|
|
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
Hola!! MUCHISIMAS GRACIAS POR TU APORTE!! (Aportazo mejor dicho  ) Encontre la firma del AVG Free Edition, mirenla:  Ahora, tengo una GRAN DUDA que espero alguien pueda responderme. Como ven, la firma es muy pequeña a comparacion con la del KAV que encontró el Sr. crador del thread. Y mi duda es: ¿Con hacer este procedimiento el troyano que encriptemos luego queda TOTALMENTE protegido para CUALQUIER antivirus o nada mas para, en mi caso, el AVG Free? Respondan pls, por que sino no lo puedo mandar a mi victima  Gracias! Salu2 |
|
|
|
|
En línea
|
|
|
|
kicking people
Desconectado
Mensajes: 210
|
Hola!! MUCHISIMAS GRACIAS POR TU APORTE!! (Aportazo mejor dicho ) Encontre la firma del AVG Free Edition, mirenla: Ahora, tengo una GRAN DUDA que espero alguien pueda responderme. Como ven, la firma es muy pequeña a comparacion con la del KAV que encontró el Sr. crador del thread. Y mi duda es: ¿Con hacer este procedimiento el troyano que encriptemos luego queda TOTALMENTE protegido para CUALQUIER antivirus o nada mas para, en mi caso, el AVG Free? Respondan pls, por que sino no lo puedo mandar a mi victima Gracias! Salu2 Solo para el AVG, tenés que repetir el método con los antivirus que quieras hacerlo indetectable 200 mensajes!!  |
|
|
|
« Última modificación: 14 Febrero 2008, 18:54 por kicking people »
|
En línea
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
Solo para el AVG, tenés que repetir el método con los antivirus que quieras hacerlo indetectable
¡Muchas gracias por tu respuesta! Pero tuve un problema justo en estos últimos minutos. A la hora de elegir las dos línes para reemplazar en el Hex, en mi caso no encontre ninguna que diga MOV, encontre otras dos que estaban resaltadas con amarillo, use esas pero cuando por fin termine el proceso el AVG me seguia detectando el nuevo Stub! Osea mi problema es parecido al del amigo Gabrunix (al que nadie respondió): Ya complete exitosamente el procedimiento pero me surge una única y gran duda al momento de ejecutar el siguiente paso: Ahora vamos a elegir el pedazo de código que vamos a modificar, en este caso tomaremos las dos instrucciones MOV que se encuentran en la dirección de memoria: 100023FB MOV EDX 10002400 MOV EAX  me preocupa quizás elegir un pedazo de código incorrecto, el tutorial dice que debo copiar esos 2 mov pero en que es lo que yo me debo fijar al momento de elegir código para copiarlo en el espacio de los NOP  necesariamente deben de ser 2 lineas deben de ser necesariamente MOV que otra parte podria elegir para copiar para saber al momento de hacerlo sacando las firmas para otro archivo ya que no creo que sigan existiendo esos 2 MOV para copiarlos, no se si me he expresado del todo bien pero me preocupa bastante esto ultimo, espero tu respuesta saludos Ese es mi ultimo problema, alguien me puede dar una ayudita? gracias! Salu2 |
|
|
|
|
En línea
|
|
|
|
|
|
eXcEteRa
Desconectado
Mensajes: 18
|
Lo que me parece raro es esto, a mi me salio la misma firma que vos del AVG, pero si meto en el HEX el stub entero, y le cambio la firma, igual me lo sigue detectando :|.
si alguien lo hizo con el AVG tirenos alguna ayudita.
|
|
|
|
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Si cambias la firma con el hex te va a quedar inservible, el hex y el signature es para localizar la firma, luego para modificarla usa olly, pero el stub sin ceros.
|
|
|
|
|
En línea
|
|
|
|
leos_79
Desconectado
Mensajes: 176
Anyway, Anyhow, Anywhere
|
descubri que el AVG detecta el DOS stub , (la parte donde dice el programa no puede ejecutarse) , tonces llenamos con 0 esa frase, se va otra firma  saludos! y sigue funcional |
|
|
|
|
En línea
|
|
|
|
|
 |
