 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 47046 veces)
|
Lord William
 Desconectado
Mensajes: 176
|
hola, estaba haciendo todo lo que decia hasta que me falló el antivirus, no me reconocía a stub como un virus ni con una mitad rellena de ceros ni con la otra y original en si, ni siquiera otro server que havía creado con en poison ni encriptado con themida, pero cuando lo voy a enviar por hotmail me dice que contiene un virus desconocido  , ¿que puedo hacer? tengo el AVG, ah, otra cosa, no me permite descargar ejecutables desde mi mp3, y eso que es un patch de un juego, ningún ejecutable ni si quiera cuando desactivo el AVG. |
|
|
|
|
En línea
|
 si me borran otro mensaje útil volaré todo el maldito pentagono así Bush se las agarra con toda latinoamérica |
|
|
N@5h
Desconectado
Mensajes: 194
|
disculpen las molestias pero me lo baje de rapidshare y me dise que el pass es incorrecto alguien me dise cual es???
by saludos...
|
|
|
|
|
En línea
|
|
|
|
Lord William
Desconectado
Mensajes: 176
|
está al principio, pero ¿alguien me contesta esto?  hola, estaba haciendo todo lo que decia hasta que me falló el antivirus, no me reconocía a stub como un virus ni con una mitad rellena de ceros ni con la otra y original en si, ni siquiera otro server que havía creado con en poison ni encriptado con themida, pero cuando lo voy a enviar por hotmail me dice que contiene un virus desconocido , ¿que puedo hacer? tengo el AVG, ah, otra cosa, no me permite descargar ejecutables desde mi mp3, y eso que es un patch de un juego, ningún ejecutable ni si quiera cuando desactivo el AVG. |
|
|
|
|
En línea
|
si me borran otro mensaje útil volaré todo el maldito pentagono así Bush se las agarra con toda latinoamérica |
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Perdon no puse los screens, Me aparece asi cuando arrastro el stub:  Y aca no me aparece View cuando toco click derecho  Ese mismo problema ya se trató en otras páginas atrás. Eso te pasa porque abres el stub modificado, el que tiene los ceros y eso está mal, tienes que abrir el stub "virgen" sin ceros, date cuenta que los ceros no nos sirven para nada, mas que para saber donde está localizada la firma, una vez que sepamos su ubicación, los ceros no nos sirven para nada. |
|
|
|
« Última modificación: 22 Febrero 2008, 23:45 por K-19 »
|
En línea
|
|
|
|
leos_79
Desconectado
Mensajes: 176
Anyway, Anyhow, Anywhere
|
pregunta un tokesito avanzada para octahl, tenes idea que hacer , cuando la firma no tiene imagen virtual , osea no tiene RVA , solo RAW. porque estoy laburando con XOR , y desde el assembler no se puede tocar nada que no este en memoria ,va es medio obvio jeje .
saludos
|
|
|
|
|
En línea
|
|
|
|
jackl007 ツ
Desconectado
Mensajes: 818
IP GMailer
|
Bueno les paso a explicar lo que hago...
Cuando le paso el signature al stub, aveces me da qe lo detecta y a veces no...
osea por ejemplo
lleno de ceros la mitad izqierda, guardo, chekeo i lo detecta, entonces digo, "la firma esta ne la mitad derecha", qehago, lleno de ceros la mitad derecha i lo detecta iwal..., despues lleno de ceros solo la izq i no lo detecta, dps solo la derecha i tampoco lo detecta, dps parte del medio i lo detecta, dps solo derecha i lo detecta...
osea
estoy perdido...
Avg 7.5 sucks
eso te pasa por sobre-escribir el fichero; guardalo dandole otro nombre distinto; de este modo no tendras problemas |
|
|
|
|
En línea
|
 Creete HACKER cuando hagas cosas como Kevin Mitnick ... |
|
|
eXcEteRa
Desconectado
Mensajes: 18
|
Bueno les paso a explicar lo que hago...
Cuando le paso el signature al stub, aveces me da qe lo detecta y a veces no...
osea por ejemplo
lleno de ceros la mitad izqierda, guardo, chekeo i lo detecta, entonces digo, "la firma esta ne la mitad derecha", qehago, lleno de ceros la mitad derecha i lo detecta iwal..., despues lleno de ceros solo la izq i no lo detecta, dps solo la derecha i tampoco lo detecta, dps parte del medio i lo detecta, dps solo derecha i lo detecta...
osea
estoy perdido...
Avg 7.5 sucks
eso te pasa por sobre-escribir el fichero; guardalo dandole otro nombre distinto; de este modo no tendras problemas Ese problema lo solucioné hace tiempo, logré hacer el bifrost indetectable para 11 AV, me quedan el mcafee y el F prot, pero lo hize de otra manera, no como en el tutorial. Es cambiar unas cosas, y usar a viejos amigos  . |
|
|
|
|
En línea
|
|
|
|
trast0
Desconectado
Mensajes: 63
|
indetectable si se hace... PERO FUNKA EL SERVER DESPUES DE HABERLE PASADO EL CRYPTER CON EL STUB MODIFICADO???¿??¿¿
|
|
|
|
|
En línea
|
Tu egocentrismo me lo paso por el forro de los cojones!!!
|
|
|
jackl007 ツ
Desconectado
Mensajes: 818
IP GMailer
|
Si almenos con el bifrost si; teneis que probarlo antes de enviarlo pues  |
|
|
|
|
En línea
|
Creete HACKER cuando hagas cosas como Kevin Mitnick ...
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
indetectable si se hace... PERO FUNKA EL SERVER DESPUES DE HABERLE PASADO EL CRYPTER CON EL STUB MODIFICADO???¿??¿¿
Yo en su día probé encriptando una simple aplicación que hice en vb y funcionó. |
|
|
|
|
En línea
|
|
|
|
cold_
Desconectado
Mensajes: 4
|
Hola, soy nuevo en el foro. Acabo de registrarme. Un saludo a todos.
He seguido el manual al pie de la letra y todo perfecto, solo que el Kaspersky me dice que es un troyano. Supongo que ya estarán al día.
Por otro lado, no se cómo funciona el X-Crypter... si alguien me lo puede aclarar please.
|
|
|
|
|
En línea
|
Lo importante no es lo que se sabe sino lo que se enseña.
|
|
|
cold_
Desconectado
Mensajes: 4
|
Ah se me olvidaba!
Tambien he seguido el manual pero con el server del Poison directamente...
La unica manera que he encontrado para hacerlo totalmente invisible es quitando las opciones de autoinicio y de injection en procesos cuando creas el server. Quitando este par de opciones y siguiendo el manual queda indetectable para Kaspersky. Aunque con un par de inconvenientes, claro...
|
|
|
|
|
En línea
|
Lo importante no es lo que se sabe sino lo que se enseña.
|
|
|
V1rk4N
Desconectado
Mensajes: 4
|
cual es la clave de la descarga que vaje en rapid.. porque no funciona.. la clave.... ya le puse la pagina..y na!
XFAVOR QUISIERA LA CLAVE Y SI ESTA SIN CLAVE MEJOR!
|
|
|
|
|
En línea
|
|
|
|
eXcEteRa
Desconectado
Mensajes: 18
|
Lo más eficaz hasta ahora, es: MSB + THEMIDA + EDITOR HEX + BIFROST = Indetectable 99% (verificado por 14 AVs) Gente, es saber interpretar, sacar concluciones, y lo más importante. Experimentar  SUerte |
|
|
|
|
En línea
|
|
|
|
djxela
Desconectado
Mensajes: 18
|
Tendria una duda que si puede octalh o otro usuario aclararmela me vendria muy bien...
Lo primero es que cuando ya tenemos la firma acorralada... y editando en hexa vemos que nos quedan 6 lineas con offsets y sus respectivas columnas....
k vamos probando fila por fila desde la primera fila aciendo ceros no?
y si vemos k la 3º fila por ejemplo se ace 0 y ya es indetectable pues en esa tercera fila vamos probando columna a columna asta que se haga indetectable?? y acemos exactamente lo mismo desde la ultima fila acia adentro?
mi segunda duda es cuando usamos el olly
tu te vas a la direcion donde ta la firma... y copias 2 lineas de comando..
mov edx
mov eax
vale y entiendo de que esas 2 lineas de comando las copie y las introduscas en los NOPs que a creado el topo12
y aora lo que aces es que cuando ya as copiado las 2 linea de comando encima del NOPs, en las originales la primera MOV edx la sustituye por un JMP.. acia la fila donde estan los MOV que emos copiado....
pero esta es mi duda.. aora cojes y despues de terminar de leer los dos MOV que emos copiado dentro de los NOPs acemos otro JMP acia el codigo original...
pero resulta de que tu lo aces asia la fila donde esta el MOV EAX... entonces significa k esa funcion la lee 2 veces... una la k as copiao y otra cuando vuelves acia el codigo..
me ekivoco? no importa que vuelva a leer 2 vece la operacion? abria que cambiar el jmp y ponerlo una linea mas delante?
y mi ultima duda es que nosotros modificamos el stub de un crypter... ese stub supongo que sera el que da el metodo de encryptacion no?
entonces quiere decir que si tenemos un stub modificado sin que lo detecte ningun antivirus.... todo lo que nosotros encryptemos con ese stub tambien quedara indetectable por siempre? asta que detecten el stub o el troyano?
Muchisimas gracias de antemano... espero su respuesta por partes se lo agradeceria.... saludos
|
|
|
|
|
En línea
|
|
|
|
|
 |
