Autor
|
Tema: Ayuda con firma Win32:VBCrypt-VW !! (Leído 6,405 veces)
|
VanHelsing810
Desconectado
Mensajes: 34
|
Alguien me podria deciir como saltar esta firma Win32:VBCrypt-VW en avast eh echo desplit alternativo los offset del desplit me quedan 5 concecutivos cuando hago avfuker en ese rango de offsets salen detectados.
y mirando con olly esos offsets caen en pocos bytes para el rit
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Alguien me podria deciir como saltar esta firma Win32:VBCrypt-VW en avast eh echo desplit alternativo los offset del desplit me quedan 5 concecutivos cuando hago avfuker en ese rango de offsets salen detectados.
y mirando con olly esos offsets caen en pocos bytes para el rit
Sí, dejar de programar malware en VB y aprender C/C++.
|
|
|
En línea
|
|
|
|
VanHelsing810
Desconectado
Mensajes: 34
|
Si , ya me parecia empezarè algo a ver algo en C++ gracias por tu respuesta
|
|
« Última modificación: 29 Noviembre 2014, 03:25 am por VanHelsing810 »
|
En línea
|
|
|
|
Elargrt
Desconectado
Mensajes: 10
|
Prueba rellenando con 90 el VB5! con HexWork(si es que lo programaste en VB6) Saludos
|
|
|
En línea
|
|
|
|
.:UND3R:.
|
Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:
FIRMA FIRMA FIRMA SIGUE CODIGO FINAL CODIGO
quedaría FIRMA JMP FINAL CODIGO FIRMA FIRMA JMP SIGUE CODIGO
Saludos y suerte
|
|
|
En línea
|
Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:
FIRMA FIRMA FIRMA SIGUE CODIGO FINAL CODIGO
quedaría FIRMA JMP FINAL CODIGO FIRMA FIRMA JMP SIGUE CODIGO
Saludos y suerte
Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.
|
|
|
En línea
|
|
|
|
xxxposeidonxxx
|
Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.
Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo. PD:No se modifica por modificar o por el tiempo que dure, es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente. saludos
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo.
Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado. PD:No se modifica por modificar o por el tiempo que dure, es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente. saludos
¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV? Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible. Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién? - Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs.
|
|
« Última modificación: 6 Diciembre 2014, 05:35 am por x64Core »
|
En línea
|
|
|
|
xxxposeidonxxx
|
Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado. ¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV? Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible.
Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién?
-
Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs.
Hace mucho tiempo que modificar Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Hace mucho tiempo que modificar Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.
¿Hace mucho tiempo que no sirve de nada? ¿Desde cuando fue una solución en general? Incluso los escritores de virus desde los años de 1990 escribian motores polimorficos y metamorficos en virus para evadir firmas de AVs. Y el punto de subir a VirusTotal es la rapidez con la que los AVs pueden generar una firma estatica para un malware. Acerca del modding prefiero crackmes, packers... son más divertidos que estar removiendo firmas de AVs en un programa... pero bueno. - Ahora, si apesar de eso aún crees que remover firmas "manualmente" podria ser una solución hay cosas importantes en la modificación de malware ya que uno no sabe si se estaría modificando la infraestructura del mismo, dejandolo sin funcionar. Muchos casos por ejemplo: comprobadores de integridad, offsets fijos o cualquier situación en la que se considere algun valor fijo... Todo esto sin mencionar que si estas agregando código/datos a alguna sección es posible que sea necesario actualizar la sección y todas las posteriores y valores de la imagen PE y también saltos relativos, en otras palabras se necesitará una regeneración de toda la imagen PE lo cual todo eso en la mayoria de los casos es una tarea imposible de realizar, se necesitará información que sólo es disponible al programar el malware. En verdad que basuras como "AVfucker" nunca debieron existir.
|
|
« Última modificación: 7 Diciembre 2014, 03:54 am por x64Core »
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ayuda win32.beginupdateresource(), win32.updateresource(), no funciona.
.NET (C#, VB.NET, ASP)
|
krosty123
|
2
|
3,895
|
6 Noviembre 2010, 04:10 am
por krosty123
|
|
|
problema con firma win32.vbinject (ikarus/a squared)
Análisis y Diseño de Malware
|
krisium
|
4
|
4,550
|
8 Noviembre 2010, 12:50 pm
por krisium
|
|
|
JDK para win32? [ayuda]
Java
|
akibara
|
3
|
7,364
|
27 Mayo 2011, 01:31 am
por Mr.Blue
|
|