 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 47042 veces)
|
projectzero
 Desconectado
Mensajes: 7
|
hola vamos haber una prunta para los que la sepan
como modifico con el olly dbg las 3 firmas que signature zero me saca mentiendo primero el primer offset y haciendo los pasos del manual llegando all modifications
y luego vuelvo a coger el olly con stub modificado y meterle otra firma asi hasta la tercera firma ....... gracias
|
|
|
|
|
En línea
|
|
|
|
JEYKOTT
Desconectado
Mensajes: 49
|
ok. yo creo que para los avs que detectan 3 firmas lo mejor es usar RIT-XOR-MEEPA, pero yo no logro encontrarlas, ahora si alguien se le mide a ubicar los offsets del AVG me los envia en privado yo los modifico y le envio el stub, eso es trabajo en equipo. los espero.  |
|
|
|
|
En línea
|
COLOMBIA es PAISA
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Gracias por la ayuda tenias razon con lo del path y el pluguin, no estaba n bien especificados, los cambie ahora esta todo como debe ser, antes me tiraba error, pero igual me sigue sin aparecer la opcion copy to executable / all modifications, otra cosa esta opcion me deberia aparecer en la misma ventana del executable file o tengo que hacer click en el modulo cpu?, porque es ahi a donde me aparece la opcion mas parecida a la que se da en el tutorial pero no es igual porque no tiene all modifications sino unicamente selection  Cual es el stub que abres con el olly? el original o el que llenaste de ceros? tienes que abrir el original... |
|
|
|
|
En línea
|
|
|
|
|
|
JEYKOTT
Desconectado
Mensajes: 49
|
|
|
|
|
|
En línea
|
COLOMBIA es PAISA
|
|
|
JEYKOTT
Desconectado
Mensajes: 49
|
MOV EBX,EDX
MOV ESI,EAX
SE PUEDEN MOVER AL HUECO ESTOS MOVS EN METODO RIT.?
SALUDOS.
|
|
|
|
|
En línea
|
COLOMBIA es PAISA
|
|
|
|
|
Sainshaca
Desconectado
Mensajes: 3
|
Hoolax, ps :S Tengo un problema, Tengo el Nod32 Instalado en mi mmakina, Y cuando hago la primera, parte, del Tutorial, osea con el SignatureZero q lo hago lo de rellenar seros desde 5388a 10240 Y lo guardo y lo pruebo, no me lo detectan
haciendo esto toncs, me salteo lo del La parte de Hexa..
pero cuando llego Ollydbg q le doy abrir y busco mi archivo :S me tira un error, xxx no c q q :s no entiendo xfavor ayudenme
|
|
|
|
|
En línea
|
|
|
|
Artikbot
MERLUZO Returns...
Colaborador
Desconectado
Mensajes: 4.045
Wanna Be Overclock3r; At least done!!
|
|
|
|
|
|
En línea
|
We played together, enjoyed that beautiful moments... Yeah we did... You were like a sister for me...
Now good times have passed, you got rid of me... Well, I don't know why I'm still alive, it'll be so hard to find a new heart. Yes, you still have mine, and if you don't remeber, I have a piece of yours. Don't forget me.
You know something, you are fucking beautiful <--- From Rando!
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
MOV EBX,EDX
MOV ESI,EAX
SE PUEDEN MOVER AL HUECO ESTOS MOVS EN METODO RIT.?
SALUDOS.
Y por qué no lo pruebas?? Hoolax, ps :S Tengo un problema, Tengo el Nod32 Instalado en mi mmakina, Y cuando hago la primera, parte, del Tutorial, osea con el SignatureZero q lo hago lo de rellenar seros desde 5388a 10240 Y lo guardo y lo pruebo, no me lo detectan
haciendo esto toncs, me salteo lo del La parte de Hexa..
pero cuando llego Ollydbg q le doy abrir y busco mi archivo :S me tira un error, xxx no c q q :s no entiendo xfavor ayudenme
Lo haces mal, tienes que cercar la firma lo máximo posible, leete bien el tutorial... de nada te vale poner ceros en una mitad... con eso no sabes desde donde hasta donde se encuentra la firma... sabiendo que en esa mitad no lo detecta deberías ir estrechando el cerco para saber exactamente cual es... repito leete bien el manual y comprendelo porque a simple vista podría decirte que no te lo has leido detenidamente. Al abrirlo en el Olly te da ese error porque abres el stub el cual le añadiste ceros... debes abrir uno virgen, el original. Pero repito una vez más, antes de usar el olly debes cercar perfectamente la firma y saber desde donde hasta donde se encuentra... cuantos offsets abarca dicha firma. Lee amigo lee. |
|
|
|
|
En línea
|
|
|
|
raptor26
Desconectado
Mensajes: 1
|
Hola, primero que nada quiero decirle que es una excelente aportacion este manual... lo he leido todo y esta bastante bien explicado... pero tengo un problema el cual no me han podido resolver ninguno de los post que lei en este tema... aver si alguien me puede ayudar por que en realidad me gustaria tener exito como ustedes..puede ser que este haciendo algo mal..... He utilizado el bifrost y el poison para crear el servidor , todo bastante bien, cree tambien una no-ip.... para buscar la firma baje el signature zero pero a la hora de tratar de abrir el server.exe con el signaturezero me dice que hay un error al abrir el archivo.. osea no me deja abrirlo..... ni el STUB ni los servers que hago los puedo abrir, intente cn el cigicigi y tampoco puedo abrir el archivo.... tengo el NOD32 pero lo desactivo.... desactive tambien el firewall.... no hay nada que me lo impida (segun yo)... aparte a la hora de tratar de infectarme . trato de abrir el server.exe y me sale un mensaje que dice "El archivo ruta especificada no se puede abrir o pueda que no tenga los permisos necesarios para abrir el archivo" ... no se por que diga eso... estoy conectado como administrador.. se supone que tengo permiso para lo que sea no? ojala me puedan ayudar por que en realidad no se que pasa con mi compu.... kisiera saber si tiene algo que ver que tengo el Windows Unattended Edition 7.... de ante mano muchas gracias
|
|
|
|
|
En línea
|
|
|
|
alexkof158
Desconectado
Mensajes: 175
|
Hola, primero que nada quiero decirle que es una excelente aportacion este manual... lo he leido todo y esta bastante bien explicado... pero tengo un problema el cual no me han podido resolver ninguno de los post que lei en este tema... aver si alguien me puede ayudar por que en realidad me gustaria tener exito como ustedes..puede ser que este haciendo algo mal..... He utilizado el bifrost y el poison para crear el servidor , todo bastante bien, cree tambien una no-ip.... para buscar la firma baje el signature zero pero a la hora de tratar de abrir el server.exe con el signaturezero me dice que hay un error al abrir el archivo.. osea no me deja abrirlo..... ni el STUB ni los servers que hago los puedo abrir, intente cn el cigicigi y tampoco puedo abrir el archivo.... tengo el NOD32 pero lo desactivo.... desactive tambien el firewall.... no hay nada que me lo impida (segun yo)... aparte a la hora de tratar de infectarme . trato de abrir el server.exe y me sale un mensaje que dice "El archivo ruta especificada no se puede abrir o pueda que no tenga los permisos necesarios para abrir el archivo" ... no se por que diga eso... estoy conectado como administrador.. se supone que tengo permiso para lo que sea no? ojala me puedan ayudar por que en realidad no se que pasa con mi compu.... kisiera saber si tiene algo que ver que tengo el Windows Unattended Edition 7.... de ante mano muchas gracias
pa que salgas de dudas, desistala el antivirus mi valesita, y prueba, si corren los troyanos, entonces es el av que no lo sabes desactivar Saludos suerte y pulso para todos. |
|
|
|
|
En línea
|
@L3x
|
|
|
K-19
Desconectado
Mensajes: 464
Sarah Wayne
|
Asegurate de cerrar todos los módulos del nod32 y luego cierra también el antivirus, no lo dejes abierto.
|
|
|
|
|
En línea
|
|
|
|
ev1lsys
Desconectado
Mensajes: 1
|
buenas, soy nuevo pero ya llevo siguiendo el foro bastante tiempo pero nunca antes habia posteado.
Haber en primer lugar felicidades a octalh por compartir el manual, es estupendo.
Expongo mis dudas.. he hecho el manual como 9 veces, tengo el kaspersy instalado. Creo que lo hago todo bien, me sale el stub indetectable, pero al unirlo al server de bifrost queda inservible.
He intentado partir la firma por distintos sitios, he cojido los MOV's de el tutorial, he cojido distintos mov's, distintos offset, he repasado y repasado la firma...
y despues en el bifrost le doy a build server, y cuando me pide que si quiero empaquetarlo lo haga, lo empaqueto con el x-crypter, en stub mi stub modificado, en browse el server y en craypt file lo guardo con otro nombre, tambien lo e sustituido y despues le doy a ok en el bifrost. Tambien he probado con otros crypters, pero es el mismo resultado.
Haber si alguien sabe que estoy haciendo mal, porque me voy a volver loco, y creo que no puedo morirme sin saber esto.
Perdon por la parrafada, saludos
|
|
|
|
|
En línea
|
|
|
|
|
|
|
 |
