 Autor
|
Tema: TUTORIAL: haz indetectable CUALQUIER troyano (Leído 34084 veces)
|
|
ReyMisterio
|
otra pregunta. En el signature zero. Haces que se rellenen de ceros (rojo) todo menos lo que esta dentro de los marcadores (que esta en verde). Para asi hacer todo el ejecutable lleno de ceros menos la parte de la firma...
Como Lo hago? yo acerco los marcadores, pero se me hace rojo solamente la parte de dentro. No la de afuera
Como hago para rellenar de ceros la parte que esta fuera de los marcadores y dejar intacta la de dentro?
Me refiero a la pagina 8, la primera fotografia antes de pasar al editor exadecimal.
|
|
|
|
|
En línea
|
|
|
|
^HtCc
 Desconectado
Mensajes: 28
I Crash Your Mind
|
MUy bueno el tuto ; )
|
|
|
|
« Última modificación: 09 Febrero 2008, 15:10 por ^HtCc »
|
En línea
|
|
|
|
|
octalh
|
Ami el cryper ese no me funciona con el bifrost. Lo he descargado y ya es indetectable al nod 32 sin modificar nada. Creo el server de bifrost y lo encripto con ese cryper y al intentar infectarme no pasa nada. Sin embargo si lo encripto con el cigi cigi u otro si que me infecto.
A Vosotros es funciona ese cryper con el server de bifrost?
para que te funcione correctamente, cuando el bifrost te dice que antes de dar aceptar le pases un compresor o crypter, en ese momento encryptalo te creara un segundo server sin icono, ese lo cambias por el original y despues en bifrost ya le das en aceptar para que termine de crear el server otra pregunta. En el signature zero. Haces que se rellenen de ceros (rojo) todo menos lo que esta dentro de los marcadores (que esta en verde). Para asi hacer todo el ejecutable lleno de ceros menos la parte de la firma...
Como Lo hago? yo acerco los marcadores, pero se me hace rojo solamente la parte de dentro. No la de afuera
Como hago para rellenar de ceros la parte que esta fuera de los marcadores y dejar intacta la de dentro?
Me refiero a la pagina 8, la primera fotografia antes de pasar al editor exadecimal.
solo tienes que mover las dos indicadores de un extremo a otro salu2 |
|
|
|
|
En línea
|
|
|
|
|
demolation
|
hey muy buen tuto se te agradece hermano pero tengo una preguntaa ya cuando estoy en el hexa no entiendo muy bien que ahi que hacer ya que no me salen los mismos offsets que te salieron a ti seguro debo de estar haciendo algo mal me podrias ayudar
gracias y saludos
|
|
|
|
|
En línea
|
|
|
|
|
ebola_30
|
yo he probado el crypter con el poisson 2.3.2 y me crea un archivo pero que no tiene extension .exe. no se si eso es normal o estoy haciendo algo mal. no deberia se seguir siendo un ejecutable el archivo?
gracias por el manual y los programas,esta noche me lo leere con tranquilidad.tiene muy buena pinta.un saludo
|
|
|
|
|
En línea
|
|
|
|
|
octalh
|
hey muy buen tuto se te agradece hermano pero tengo una preguntaa ya cuando estoy en el hexa no entiendo muy bien que ahi que hacer ya que no me salen los mismos offsets que te salieron a ti seguro debo de estar haciendo algo mal me podrias ayudar
gracias y saludos
Recuerda que la firma que yo obtube es del kaspersky, si usas otro antivirus es logico que obtengas firmas diferentes, cada antivirus tiene sus propias firmas. de usar kaspersky entonces si debes obtener el mismo resultado, todo es cuestion de practica ya veras que todo funciona bien. yo he probado el crypter con el poisson 2.3.2 y me crea un archivo pero que no tiene extension .exe. no se si eso es normal o estoy haciendo algo mal. no deberia se seguir siendo un ejecutable el archivo?
gracias por el manual y los programas,esta noche me lo leere con tranquilidad.tiene muy buena pinta.un saludo
verifica que al momento de guardar el archivo encriptado tenga extensión .exe al final del nombre. salu2 |
|
|
|
|
En línea
|
|
|
|
|
demolation
|
gracias me podrias dar tu msn porfavor?
|
|
|
|
|
En línea
|
|
|
|
|
K-19
|
Se me hace un poco pesado el primer paso del signaturezero, haber si me lo leo mejor, pero aqui os traigo una duda. Ahí dice que si llenamos de 0 una mitad y el AV no lo detecta como tal, es que hemos borrado mitad de la firma o algo asi... y bueno, con eso no bastaría ya???  con tan solo llenar de 0 una pekeñisima parte ya me lo deja indetectable :S en el tutorial dice que debemos llenar de 0 hasta q no lo detecte, pues ami me lo deja indetec. con ponerle a una pekeña parte. lo que kerrás decir es hasta q sea detectable no? kizas eso causa confusión. |
|
|
|
« Última modificación: 09 Febrero 2008, 20:36 por K-19 »
|
En línea
|
|
|
|
|
ReyMisterio
|
En respuesta a k-19
No, no sirve con solo llenar la mitad de ceros i dejarlo indetectable. Puesto que e ceros que rellenas son offsets del server. Y si eliminas la mitad, el server se queda inservible. Pruebalo y veras (con un server sin inyeccion ni agregarse al registro ni nada..) prueba a llenarlo la mitad de ceros y luego intentar infectarte y veras como no sucede nada. El server queda inservible.
Ahora mis dudas :
para que te funcione correctamente, cuando el bifrost te dice que antes de dar aceptar le pases un compresor o crypter, en ese momento encryptalo te creara un segundo server sin icono, ese lo cambias por el original y despues en bifrost ya le das en aceptar para que termine de crear el server
Como lo cambio por el original? yo pongo build server en el bifrost i me dice que pulse aceptar, antes de pulsar aceptar cojo el xcryper i encripto el server que me crea el bifrost(sin darle aceptar al bifrost) y creo el server encriptado. (he probado a sobreescribirlo y a crear otro diferente) y luego le doy aceptar al bifrost. Y me crea uno que pesa 36kbs sin icono. Que no es detectado pero es inservible ya que no infecta.
solo tienes que mover las dos indicadores de un extremo a otro
No me deja cruzar los indicadores y se rellena la parte que hay entre los 2 marcadores no la parte que hay fuera.
|
|
|
|
|
En línea
|
|
|
|
|
octalh
|
Como lo cambio por el original? yo pongo build server en el bifrost i me dice que pulse aceptar, antes de pulsar aceptar cojo el xcryper i encripto el server que me crea el bifrost(sin darle aceptar al bifrost) y creo el server encriptado. (he probado a sobreescribirlo y a crear otro diferente) y luego le doy aceptar al bifrost. Y me crea uno que pesa 36kbs sin icono. Que no es detectado pero es inservible ya que no infecta.
Reymisterio el crypter tanto con el stub original como con el modificado funciona perfectamente con bifrost yo mismo tengo uno funcionando. verifica que el cryter tiene la ruta del stub, lo que yo hago es lo siguiente, creo un server con bifrost y antes de dar aceptar cuando te pregunta si lo quieres empaquetar o encriptar lo encripto y me crea un server nuevo con otro nombre, borro el server original que tiene el icono y en su lugar pongo el que esta encriptado con el nombre server.exe, despues procedo dar aceptar y listo. respecto a lo del signaturezero creo que si ya te diste cuenta que lo que esta en el centro de ambos marcadores es lo que se llena de ceros pues solo tienes que mover esas dos lineas a donde quieras, para llenar de ceros el area que te convenga. no es cosa de imitar el dibujo de la ilustracion es cosa de que aprendas a encontrar las firmas, sino entonces no tiene caso. estaria bien que te tomes el tiempo suficiente para realizar las pruebas necesarias con las herramientas y encontraras la forma correcta de utilizarlas. salu2 |
|
|
|
|
En línea
|
|
|
|
|
Agk3471
|
octalh, lee mi MP porfavor.
Te lo agradecería mucho si me puedes ayudar con eso.
|
|
|
|
|
En línea
|
|
|
|
|
ReyMisterio
|
Gracias por tus respuestas! Tranquilo practicare un tiempo hasta que le pille el truquillo
|
|
|
|
|
En línea
|
|
|
|
|
K-19
|
Grandioso ya encontre la firma para el kaspersky, que por cierto no es la misma que la que te da a ti, o en la imagen sale esa por que tu quicistes que la gente no se "copie" ?? igualmente bien hecho.
|
|
|
|
« Última modificación: 09 Febrero 2008, 23:12 por K-19 »
|
En línea
|
|
|
|
|
K-19
|
Por cierto una duda que tengo, no me hizo falta usar el Hex WorkShop porque al parecer con el SignatureZero la firma la deje bien cercada  ¿Eso es bueno?  EDITADO: En la página 13 dices que hay que dar click derecho en la ventana CPU y darle a view y luego executable file, pues yo la opción view no la tengo al darle click derecho  y eso porque razón?? usas tu una versión diferente?? mira lo que me sale ami:  |
|
|
|
« Última modificación: 09 Febrero 2008, 23:47 por K-19 »
|
En línea
|
|
|
|
|
octalh
|
Bueno yo utilizo el siganturezero solo para encontrar rapidamente la firma, pero como siempre me ha gustado saber la firma "exacta" sin un offset de mas ni uno de menos XD, utilizo el editor para cercarla al maximo. imaginate antes de que thor inventara el zignature lo tenia que hacer a mano con un editor hex, entonces si era mas pesado, pero con el zignature es muy rapido y ya es poco lo que haces con el editor HEX en lo del olly te dejo una captura de pantalla  salu2 |
|
|
|
|
En línea
|
|
|
|
|
 |
