tio eres un crack! muchísimas gracias, es cojonudo tu tuto

creo que no me explique bien con el ejemplo sorry, lo que yo quiero hacer es en una variable string meter el resultado del output de un programa, ya sea el time, como el date o el ture.exe que me devuelve un numero aleatorio del 1 al 10

muchas gracias!!!

PD: lo estoy haciendo actualmente con la dll de cygwin y usando la potencia de  bash, pero me gustaría dejar un .bat limpito y no usar ese tipo de ñapas

saludos!

buenas caballero xq no me funciona esto?

@echo off
set hola=time /T
time /T
echo %hora%

por qué me da esto?
C:\>jan.bat
23:50
time /T

C:\>

y no
C:\>jan.bat
23:50
23:50

C:\>

muchas gracias caballero!

pasale el dos2unix al archivo piltrafilla que los retornos de carro en windows y linux son distintos

dos2unix wlandestroy.sh

Cuidate men, no curres mucho y vuelve pronto!   

nos veremos por estos foros suert

el puñetero amo! esta tarde lo pruebo y os cuento

me alegro que te guste a mi tb me gusta mucho más modificar el fuente original pero no siempre se tiene acceso a el, un troyano como el bifrost que no ocupa nada y tiene conexión inversa ....si lo tienes mandame 1 privado 

perdona por no contestarte antes xq toy de exámenes en la universidad

no te salen las carpetas porke el que se encarga de crearlas es el index.php una vez entras en http://localhost se te crearán las carpetas

Muy Buena guia Uxio!

yo primero modifque el entrypoint con el procdump y variando la posición de la cabezera usando unos jumps, es lo mismo que hace el programa de asphex code relocator. el PE no puedes modificarlo ni la M del principio del archivo son claves que le dicen al sistema operativo que eso es un ejecutable y que tiene una cabecera Portable Executable, mira más abajo que seguro q detectas más de 1 offset
truco: una vez hexedites puedes usar el upx para dejar el server en sus 27 KB y no los 37 pero claro el kaspersky es mu listo y dice eh! vuelve a ser el bifrost, pero que pasa si en vez de upx -9 usas upx -2 server.exe pues en vez de un 62% de compresión obtienes un 67% bueno no está nada mal para seguir indetectado jajaja

otro truco para los que quieran tener un BINDER facil facil y sencillote sencillote (aka juntador de archivos ó varios archivos en un exe )

INICO -> Ejecutar y escribir "iexpress.exe" seguro que algunos lo sabían pero otros como yo no tenia ni idea y joder un binder que no sea detectable pues... bienvenido no?? si si lo titutalre como YAB 88888ediction jajajaja pero es tipo vnc y radmin no detectables ^^
PD: gracias microsoft jajaja

si se puede, y es más una vez modificas el bifrost

McAfee...No encontrado virus
NOD32....a variant of Win32/Bifrose trojan
F-Prot.....No encontrado virus
VBA32.....Backdoor.Win32.Bifrose.d
Avast......Win32:Bifrose-T [Trj]
AntiVir.... ]no instalado[
Ikarus.....Backdoor.Win32.Bifrose.D
KAV........No encontrado virus

tu mismo muchos antivirus comparten firmas, puede q modificando un par de ellas y usando un buen.... PC guard te keden cosas chulas

PC Guard For Win32 Mini Tut - Makes Unpacked/Packed EXE Undetectable

Open PC Guard

Next To Application Signature click Browse

Select your .exe

Click GENERAL under the PROTECTION OPTIONS tab

UNCHECK Show Warning Messages
CHECK Enable anti-dumping protection
CHECK Virtual Machine Detection

Click CUSTOMIZATION

UNCHECK ALL TICKS

Under PROTECTION METHODS tab Click PLAIN

CLICK PROTECT

** DONE **

doy a file open y abro el evilbot, teniendo la seguridad que no me voy a infectar puesto que el olly no ejecuta ni 1 sola instrucción a no ser que se le diga. para ir por ejemplo al "CB" simplemente hay que sumar la imagen del ejecutable con el offset




luego en el olly das a control+G  y vas a la expresión 004000a8
puedes directamente en el código del olly dar a boton derecho -> goto -> expresión

Antes de nada Feliz 2006

He visto que por el foro  hay un manual de como sacar las firmas de los antivirus pero es un

poco engorroso, con el sistema que os voy a explicar solo necesitaréis un poco de tiempo para

tener las firmas


1ª Herramientas necesarias

- EasyPHP 1.6 ( apache+php+mysql todo en 1)
ftp://ftp.nerim.net/mirrors/easyphp/easyphp1-6_setup.exe

- AV tester (lo descomprimiremos en la carpeta www de easyphp)
http://membres.lycos.fr/rogergirardin/?op=8&link=./generator/av_tester_v1.22.rar

- Troyano que deseáis buscar los offsets (yo he elegido un viejo conocido evilbot)
http://www.securityforest.com/downloads/bots/evilbot.rar

- El editor del evilbot para nostalgicos
http://www.securityforest.com/downloads/bots/edit_evilbot.rar

      [=========]

Bueno pues manos a la obra una vez teneis instalado el easyPHP y en funcionamiento

descomprimis en la carpeta www el archivo comprimidor av_tester*.rar esto lo que nos creará será

una serie de carpetas y ficheros a los cuales accederemos a través del navegador.
Antes de abrir el navegador copiamos el troyano/virus/malware a la carpeta "exes" de "www"



Abrimos el navegador apuntando a localhost y tendremos este interfaz



Ahora clikeamos en clone gen y volvemos a dar a clonar el archivo que queremos, esto lo que nos

creará en la carpeta "result" será un clon por cada bit, cuando el navegador nos indique que ha

terminador de clonar

   

Cogeremos el antivirus del que deseamos conocer las firmas (yo voy a utilizar kaspersky)



scanearemos esa carpeta "result" y cuando tengamos borrados todos los archivos que son

detectados como virus solo nos falta darle via web a "offsets + exa edit" gracias a los archivos

que quedan vivos después de la limpia del antivirus el av tester sabe donde están los offsets



Ahora solo tenemos que ir al Hexeditor (yo utilizo Hex Workshop) y posicionarnos con el GOTO por

ejemplo en el offset 168 ahi vemos la "CB" que nos decía el av tester




Y ahora la Parte por la cual muchos dicen que los programas se les cascan a la hora de hexeditar

ese valor. Abrimos el evilbot.exe con el ollydbg 1.10 y vemos como el CB junto con 00

corresponde a un codigo de operación y unos operandos "ADD BL,CL" si nosotros hexeditamos y

ponemos un CC obtenemos que la operación cambia de una suma de "bl" con "cl" a "ADD AH,CL" yo

creo que se nota la diferencia no? xq unos cascan y otros non si teneis la suerte que

cambiais la suma por una operación similar (primero realizais la suma en un registro auxiliar y

depues ese registro lo moveis al resultado pues el ejecutable funciona tb si introducis nops

y saltos jmp podeis cambiar el código al programa pero sigue haciendo el mismo algoritmo

   

Si me entero de algo más actualizaré el mini manual, para cualquier duda y/o correción/añadido

teneis el foro y mi email nachot (at gmail dot) com

lo mismo digo, crea el usuario pero no se si el comando puede ser con parámetros tipo tftp -i ip get nas.txt o si son comandos atómicos npi

eso si chavales no espereis ver un output pork el exploit no tiene esa funcionalidad hombre si va el tftp algo se podría modificar ese perl yo me encargaría pero q comandos son? comandos sql? alguien que nos ilumine

Ya ha parcheado el señor Gates sus Explorers, solamente ha tardado 1 mes ahora la pregunta es, ¿q ha estropeado al "arreglar" esto?