 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 47548 veces)
|
Gabrunix
 Desconectado
Mensajes: 212
Gabrunix web http://www.gabrunix.cl.kz
|
Alfin algo nuevo ya me tenia harto el themida gracias por el aporte  hay que hacer método rit al propio themida para que sea 100% indetectable  |
|
|
|
|
En línea
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
Bueno estoy tratando de hacer el stub indetectable al Norton AV, y descubri que la firma va del offset 1A10 al 1A60. El problema es que cuando localizo la firma en el Olly, me aparecen estas instrucciones para elegir que son muy raras, no como las del tutorial: (lo marcado es la representación del offset 1A10-1A60):  No se cual o cuales copiar para mover a los NOP's, y si copio dos de esas cuando las pego en los NOP's me aparecen no esas sino otras marcadas en rojo y diferentes, algo como "FFFFF ?????" Por favor Octalh o alguien, ¿me pueden ayudar? Gracias, Salu2 A ver si me responden, GRACIAS! |
|
|
|
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
es una ***** ese themida no sirve pana tu tendrs el url de algun edidor q me muestrre los offset En serio preguntas por un editor de offsets?? Te aconsejo que leas el thread porque si preguntas sin leer...  |
|
|
|
|
En línea
|
|
|
|
exploit the best
Desconectado
Mensajes: 4
|
Bueno estoy tratando de hacer el stub indetectable al Norton AV, y descubri que la firma va del offset 1A10 al 1A60. El problema es que cuando localizo la firma en el Olly, me aparecen estas instrucciones para elegir que son muy raras, no como las del tutorial: (lo marcado es la representación del offset 1A10-1A60): No se cual o cuales copiar para mover a los NOP's, y si copio dos de esas cuando las pego en los NOP's me aparecen no esas sino otras marcadas en rojo y diferentes, algo como "FFFFF ?????" Por favor Octalh o alguien, ¿me pueden ayudar? Gracias, Salu2 A ver si me responden, GRACIAS! disculpa tu puedes borrar los ofsett malignos con ese programa. sabes estoy ulizando el hex worschop q si los elimina pero casi no s de programacion . y busco los offset en hex worschop y no me aparcen estoy utilizando el nuevo troyano q salio el poison 3.2 ese el url http://www.poisonivy-rat.com/index.php?link=download |
|
|
|
« Última modificación: 17 Febrero 2008, 15:47 por exploit the best »
|
En línea
|
|
|
|
darkirax
Desconectado
Mensajes: 58
|
hola e seguido todo el tutorial hasta el final i tengo un problema. modifico todo correctamente con el olly pero cuando tengo k hacer backuo/ save to data file en vez de guardarmelo en un .exe me lo guarda en . mem  como lo hago para guardarlo en un ejecutable?? gracias |
|
|
|
|
En línea
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
disculpa tu puedes borrar los ofsett malignos con ese programa. sabes estoy ulizando el hex worschop q si los elimina pero casi no s de programacion . y busco los offset en hex worschop y no me aparcen estoy utilizando el nuevo troyano q salio el poison 3.2 ese el url http://www.poisonivy-rat.com/index.php?link=downloadSi te podrias expresar mejor te lo agradeceria, no se te entiende nada. |
|
|
|
|
En línea
|
|
|
|
adrianito27
Desconectado
Mensajes: 9
|
Hola tengo un problema: estoy usando este metodo con un server del bifrost, todo va bien hasta que tengo que usar el topo. Cuando abro el server para modificarlo me aparece la siguiente ventana con esta informacion: An existing section will be used (File size will NOT change).Total bytes available: 308.
Por lo que he entendido una parte del programa esta en uso por lo que no se puede modificar, pero que yo sepa no estoy usando el bifrost, ni siquiera he enviado un server todavía acabo de empezar con esto. Necesito ayuda por favor, muchas gracias por el tutorial me esta siendo de gran ayuda.
|
|
|
|
|
En línea
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
Selecciona la primera opcion y dale OK, no es un problema es solo un aviso.
|
|
|
|
|
En línea
|
|
|
|
adrianito27
Desconectado
Mensajes: 9
|
Selecciona la primera opcion y dale OK, no es un problema es solo un aviso.
Muchas gracias, he seguido con el proceso.Lo unico es que deberia pasar lo siguiente: Bien ahora le indicamos la cantidad de bytes nulos a agregar, con 70 serán suficientes, pulsamos el botón Do It! Y nos toparemos con la siguiente ventana, en este paso es importante que copies la dirección de memoria que topo te dio, porque será donde ha metido todos esos NOP’S dentro del ejecutable, en este caso la dirección es: 1000701Ah. A mi no me aparece la ventana con la que deberia "toparme", pero en cambio si me da la direccion. ¿Es esto un problema o puedo continuar con normalidad? |
|
|
|
|
En línea
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
Se refiere a la ventana misma del topo, nada mas que mostrando las direcciones, no te preocupes  Eso si, asegurate de compiar la direccion que dice "Memory Adress", la de abajo no. suerte! |
|
|
|
|
En línea
|
|
|
|
|
|
hambert
Desconectado
Mensajes: 25
Intel Inside
|
Bueno estoy tratando de hacer el stub indetectable al Norton AV, y descubri que la firma va del offset 1A10 al 1A60. El problema es que cuando localizo la firma en el Olly, me aparecen estas instrucciones para elegir que son muy raras, no como las del tutorial: (lo marcado es la representación del offset 1A10-1A60, osea la firma del Norton): No se cual o cuales copiar para mover a los NOP's, y si copio dos de esas cuando las pego en los NOP's me aparecen no esas sino otras marcadas en rojo y diferentes, algo como "FFFFF ?????" y encima cuando termino el proceso y encrypto el server me lo rompe  Por favor Octalh o alguien, ¿me pueden ayudar? Gracias, Salu2 Alguien me puede responder?, me estoy cansando de postear siempre lo mismo  |
|
|
|
« Última modificación: 17 Febrero 2008, 21:17 por hambert »
|
En línea
|
|
|
|
flasher
Desconectado
Mensajes: 12
|
El avg me detecta el stub.exe como "hack tool", cosa normal, pero no entiendo porque lo detecta tambien como "Trojan Horse Back Door.generic9.iql"
¿Esta infectado el archivo?
Un saludo,
|
|
|
|
|
En línea
|
|
|
|
adrianito27
Desconectado
Mensajes: 9
|
mi problema es que el NOD32 no detecta como virus al stub del crypter xD. no puedo encontrar la firma  . Me pasa exactamente lo mismo que a el. ¿Alguien sabe como solucionarlo?, no me apeteceria estar repitiendo todo el proceso en vez de usar el crypter. |
|
|
|
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
mi problema es que el NOD32 no detecta como virus al stub del crypter xD. no puedo encontrar la firma . Me pasa exactamente lo mismo que a el. ¿Alguien sabe como solucionarlo?, no me apeteceria estar repitiendo todo el proceso en vez de usar el crypter. No estoy seguro pero, puede que el stub ese sea indetectable para nod32, una vez mas repito no estoy seguro. No lo he probado con nod32... |
|
|
|
|
En línea
|
|
|
|
|
 |
