 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 47537 veces)
|
pintuflas
 Conectado
Mensajes: 103
|
pegotisa ha comentado anteriormente que hay que saber donde dar el salto para no cargarte el ejecutable, sabeis cuando se puede hacer el salto y cuando NO se puede hacer el salto.
Muchas gracias!!
|
|
|
|
|
En línea
|
|
|
|
serdiaboliko
 Desconectado
Mensajes: 58
|
Buenas compañeros
Tengo una duda sobre el tutorial este
En la pagina 17 cuando te manda volver a los "MOV originales" como lo haces?
Si le das a la flecha << que sale en verde te vuelve para atras pero no te guarda lo anterior que as hecho
Asique como lo haces?
Espero que me podais ayudar
Un saludo y gracias por este pedazo de manual
|
|
|
|
|
En línea
|
AMD ATHLON X64 X2 DUAL CORE 3800 XP SK939 - K8 ASUS A8N-SLI DELUXE SK - 2GB DDR -
NVIDIA GEFORCE 9600 GT OC 512 MB-
WWW.LEONENDURO.COM - NuEvA pAgInA dE eNdUrO
|
|
|
pegotisa
Desconectado
Mensajes: 2
|
Hola, a todos.
Bueno comentar mi experiencia un poco sobre algunas instrucciones que no se pueden tocar y con las que hacen una comparación, el salto posterior, y la instrucción posterior.
es decir estas tres instrucciones se han de copiar juntas, si no nos cargamos el programa. los saltos son del tipo
jb Salta si el valor es inferior
jnb Salta si es superior o igual
je Salta si la comprobación es correcta
jne Salta si la comprobación no es correcta
jbe Salta si es inferior o igual
ja Salta si es superior
js Salta si es negativo el valor
jns Salta si no es negativo
otra cosa, es que al mover un salto de estos, muchas veces me ha cambiado la dirección del salto, por lo que he tenido que editarla una vez movida.
La instrucción importante es la comparación, por que depende del resultado ejecuta la instrucción siguiente, normalmente un salto, o bien la posterior al salto.
aunque tambien hay que decir que no tiene que ser siempre un salto después de la comparación, puede ser cualquier otra.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
<[Daniel]>
Desconectado
Mensajes: 2
|
Hola, soy nuevo.
El tutorial se ve bastante bueno, mañana lo voy a probar y les cuento que tal me fue.
Se agradecen estas cosas.
|
|
|
|
|
En línea
|
|
|
|
c00rd3L
Conectado
Mensajes: 101
|
joer asta donde ha llegado ese tema....y sigue paciencia  |
|
|
|
|
En línea
|
"nothing is impossible ....because nothing is perfect.."
|
|
|
|
|
darkirax
Desconectado
Mensajes: 58
|
hola he conseguido realizar el tuto con exito y hacerlo indetectable a nod32 i kaspersky, puedo hir haciendo el mismo proceso en el mismo stub con otros antivirus para hacerlo indetectable a otros AV's??
|
|
|
|
|
En línea
|
|
|
|
|
|
alist3r
Desconectado
Mensajes: 18
Desde Debian con amor
|
bueno... yo para asegurarme de que mis cosas son indetectables he hecho algo que creo deberia hacer todo el mundo: 1 - entender el concepto del manual 2 - probar con escenarios completamente distintos 3 - tratar de obtener un troyano 100% esclusivo cuya firma no conoce ni la virgen del rocio... y la verdad estoy muy satisfecho del trabajo, aunque sea por aprendizaje y por desempolvar el poquito assembler que tengo en el coco. Ahi va: 1 - He cambiado de crypter a uno muy poco popular que está enun pack de nosecuantos crypters que circula por estos mismos lares (aunque muchos AV detectan el crypter elegido, todos tienen una firma suya extremadamente simple) 2 - he construido mi server del bifrost 3 - he usado el método RIT (varias veces, para evadir varias firmas, esto responde a algunos posts anteriores) 4 - de regalo he desviado el punto de entrada con el topo, por si acaso. No me habia fijado en sus opciones, y en que tambien podia hacer eso. 5 - el stub de dos, como no cuesta nada modificarlo un poco, pues lo he hecho, cambiando la frase "this program must be run under blah blah blah" por una mas maja  el resultado: indetectable frente a: antivir avast avg clamwin fprot kav mcafee nod32 norton shopos solo el maldito bitdefender es el que se me resiste, pero bueno... creo que me puedo dar con un canto en los dientes con mi propio record personal jajaja. La verdad... ya lo han dicho: hacerlo único es lo que lo hace seguro. Y lo que he ido comprobando y aprendiendo por el camino no tiene precio para mi. He observado que algunos antivirus: +) se adentran de manera efectiva y transparente en ciertos cifrados (UPX, UPOLYX, PECrypter, etc) sin detectarlos como amenazas, pero si hay algo malo dentro, lo identifican correctamente pero... -) tienen unas firmas gigantescas fáciles de romper -) identifican correctamente a ciertos troyanos dentro de ciertos crypters, pero no identifican bien al troyano desencriptado... (genérico, heurística, etc) Y por supuesto... mi mas sentido agradecimiento a octalh... ¡un superaporte el tuyo, chavalote! PD.: He probado stubs en DLL de algunos crypters pero tengo problemas con el ollydbg (errores de incoherencia al mover el código); no alcanzo a solucionarlos por mis reducidos conocimientos. A ver quien se anima a salirse del camino de este manual inspirado por el mismo, que es lo realmente divertido salu2 alist3r |
|
|
|
« Última modificación: 13 Julio 2008, 21:02 por alist3r »
|
En línea
|
Debian rlz
|
|
|
nmos
Desconectado
Mensajes: 10
|
Bueno les comento que esta muy bueno este post, excepto que no hace indetectable CUALQUIER troyano, lo probé con kaspersky, nod32, resultando satisfacctorio, pero en el caso de la ultima version del AVG 8.0 no se puede enmascarar ni siquiera llevando todos los datos del programa a 0's, me imagino que detectará el codigo malicioso en el encabezado.... De todas maneras si alguien pudo por favor avisen, Salu2
|
|
|
|
|
En línea
|
|
|
|
JRD
Desconectado
Mensajes: 92
|
Bueno les comento que esta muy bueno este post, excepto que no hace indetectable CUALQUIER troyano, lo probé con kaspersky, nod32, resultando satisfacctorio, pero en el caso de la ultima version del AVG 8.0 no se puede enmascarar ni siquiera llevando todos los datos del programa a 0's, me imagino que detectará el codigo malicioso en el encabezado.... De todas maneras si alguien pudo por favor avisen, Salu2
Olaa que aii? yo e echo mi stub indetectable practicamente a todos los AVs mas conosidos pero con AVG 8.0 ni lo intentado y eske me lo detectaa, voy a buscarle una solucion y te comento como lo isee aunkee parece dificil jeje S@1u2s |
|
|
|
|
En línea
|
RadioWeb - 100% (Mas de 100 Emisoras) Controlador Remoto & Troyano - 100% No-Ip (Por JRD) - 100% 
|
|
|
|
|
uliari
Desconectado
Mensajes: 4
|
Que tal, miren tengo un problema, tengo el nod 32 y el kasper, cuando ejecuto el signature zero, el margen de posibilidades es bastante grande, no me queda una pequeña porcion verde como en el manual, me queda un espacio verde enorme, luego ejecuto el hex, y logro cercar una firma, de unos pocos offsets, pero hay otro espacio separado que es grande y que al eliminar tambien los offsets me lo deja de detectar, no es una firma ya que son varios cientos de offsets, que creen que sea, tengo el kasper 2009 y el ultimo nod32, sera por eso?, o por el metodo de deteccion??? heuristica o la opcion de signature para ambos, en el nod elegi cada uno de estos pero el resultado es igual, algunos del foro ya lograron hacer funcional su stub, mi pregunta es que versiones del kasper o del nod utilizan, gracias. tambien intente con otros dos crypters diferentes y nada y con el server de un keylogger. pero ni para delante ni para atras, gracias.
|
|
|
|
|
En línea
|
|
|
|
alexkof158
Desconectado
Mensajes: 176
|
Que tal, miren tengo un problema, tengo el nod 32 y el kasper, cuando ejecuto el signature zero, el margen de posibilidades es bastante grande, no me queda una pequeña porcion verde como en el manual, me queda un espacio verde enorme, luego ejecuto el hex, y logro cercar una firma, de unos pocos offsets, pero hay otro espacio separado que es grande y que al eliminar tambien los offsets me lo deja de detectar, no es una firma ya que son varios cientos de offsets, que creen que sea, tengo el kasper 2009 y el ultimo nod32, sera por eso?, o por el metodo de deteccion??? heuristica o la opcion de signature para ambos, en el nod elegi cada uno de estos pero el resultado es igual, algunos del foro ya lograron hacer funcional su stub, mi pregunta es que versiones del kasper o del nod utilizan, gracias. tambien intente con otros dos crypters diferentes y nada y con el server de un keylogger. pero ni para delante ni para atras, gracias.
haber asi como vas, vas bien lo unico que tienes que hacer es modificar el stub del x-crypter, y veras que ya son menos firmar. despues con el topo llenas hueqos para que puedes hacer saltos. y rediregelos a los huecos y yap. listo el pollito tan facil como quitarle un dulce a un niño .. . ..   |
|
|
|
|
En línea
|
@L3x
|
|
|
exequiel12
Desconectado
Mensajes: 2
la etica de un hacker se basa en su boluntad
|
bueno me gustaria q alguien me diga como puedo hacer indetectable mi troyano por fas
tengo el bifront q es q mas utiliso y el poison q me es mas facil hacerlo indetectable pero ya lo estan detectando así q por favor me pueden pasa un manual una guiea o lo q sea por que sinseramante probe de todo desde ya gracias
|
|
|
|
|
En línea
|
la etica de una hacker se besa en su boluntas de decicion
|
|
|
|
 |
