Un manual mas, bueno lo primero decir que nadie piense que con esto se pueden hacer todos los troyanos indetectables y que funcionen, pero si que dependera de a que antivirus queramos burlar, por ejemplo kav toca partes delicadas del server, asi que modificarlas es cargarselo, no siempre.Luego norton o mcafee eligen partes como el titulo,el creador, vamos cosas menos importantes, pero bien aqui aprenderemos a buscar al culpable de que los antivirus se alarmen.
OFFSET AL DESCUBIERTO
Bueno aquí una técnica algo engorrosa de buscar el offset designado por kaspersky, he de recordad que existe el programa avp offset para ello , no se si aun funcionara, pero este manual es para usarlo para todos los antivirus....
Empezaremos por bajarnos un editor hexadecimal, yo uso el hex workshop, eso a cada gusto de uno.Lo primero es una vez ejecutado el hex, es ir a
file y darle a
open, bien ahora toca buscar el server del troyano a retocar, una vez cargado nos aparecerá todo el rollo alfanumérico, bien apreciamos los offset que están numerados en hexadecimal, le damos a
options y a
file offset y elegimos
decimal, así tenemos mas claro los offset enumerados....
Nos vamos hasta el final del archivo, con ctrl+fin, vemos esto............
bueno al grano, porque señalo el
00030120?, porque nos dice el total de offset que hay, vamos a dividir en dos, para ello
00030120 entre 2 nos da
00015060.
Vale vamonos al
00015060, como?, darle a
control+g, pon ese numero de offset y dale a
beginning of file....
bien estamos en la mitad del archivo, vamos a llenar de ceros la otra mitad osea desde
00015060 hasta el principio, sombrea hasta llegar a
0000000, dale a
control+ins, y le das a ok, ahora todo lo sombreado esta a 0.......
vale, ahora hemos eliminado del nuke una mitad de datos al llenarla de ceros, que pasa si guardo el archivo y kav me detecta el archivo en cuestión?, nos indica que en la otra mitad la que si que tiene datos, están los offset malignos jeje, me vais pillando la idea?.
Sigamos darle a
file y a
save as, ponerle u nombre nuevo al guardarlo el exe, jaja no os carguéis el original.....
Pasamos el kav, ohhhh, no dice nada, y siempre me lo detectaba, vale esto quiere decir que de
00000000 a
00015060, están los offset malignos, cargar de nuevo el server, ahora a dividir
00015060 entre 2, toca sombrear de
0007530 a
0000000, seguir el mismo ejemplo que antes pero esta vez sombrear desde
0007530 a
0000000.
Ahh el kav no dice nada, bien ya sabemos que entre
0000000 a
0007530 anda el juego, bien dividamos ese
0007530,
0003765 a
0000000, a llenar de ceros venga, vuelve a cargar el original y llena de ceros......
Ah aun no lo detecta, sigamos cercando el asunto, a dividir
0003765 entre 2,
0001882 a
0000000, lo de siempre repetir lo mismo....
Jajaja, mas de lo mismo,
00000941 a
000000000, ohh a dividir
00000941 entre 2, que rollo eh?.
Siguiendo estos pasos llego a darme cuenta que
00000200 a
00000000 esta el offset, aquí se pone mas pesado este procedimiento, yo voy de dos líneas en dos líneas rellanándolas de ceros, hasta que llego a rellenar
00000140 y la
00000120, oh aquí el antivirus no me detecta nada, dejo sola llena de ceros el offset
00000120, vaya no detecta nada el kaspersky, toca ver del offset
00000120 que parte es la que el antivirus eligió para detectar este nuke...
ohh pone ahí algunas letras que forman la palabra pelo?, jaja, vamos a ver que pasa si cambiamos una letra.
Si he marcado el numero
5045 y lo e cambiado el numero
5046, la e de pelo, es ahora una f lo veis donde lo e señalado?....
Vale ahora mismo es indetectable, hay que ver que sea funcional, primero diré que ni kav ni panda lo detectan, vaya panda usa el mismo ofsset que kav, bien norton y mcafee no detectan nunca el msnnuke, bien como hemos realizado un cambio en un offset o funciona o nos cargamos el nuke, esto es así, entender que kav por ejemplo elige offset clave de un server para si es modificado que el server no funcione, norton elige las mayores paridas del programa como offset a detectar.
Aclarar que esto es un ejemplo , a lo mejor es lioso lo que os digo, pero pensar que es hacer un cerco al offset ir tapando de ceros unas partes para que otras nos digan donde esta el offset, ir achicando hasta dar con el, si es un método pesado, pero no deja de ser método, y ami este método me dejo un bonito sub7 que aun hoy en día, nadie detecta jajajaja.tendreis que probar y probar de cambiar la parte elegida por el antivirus.
Bueno hay otras técnicas por este mundillo menos engorrosas, pero así sabemos con seguridad porque el antivirus salta, todo es luego hacer pruebas, tener en cuenta que pueden elegir mas de un offset, bueno poco a poco me reincorporo al foro tras unos meses apretadillos, nos vemos, un saludo y dejare el post abierto ya que, saldran dudas, lo e intentado explicar ehh no me jodais jaja
...
Autor
En línea
??? que debo hacer 
, por cierto ahi estan esas herramientas que ya no se encuentran como el extension creator....
