 Autor
|
Tema: Cambiar firmas detectadas. (Leído 9,858 veces)
|
Harkox
 Desconectado
Mensajes: 16
|
Hola a todos, escribo este mensaje por que estoy intentando dejar indetectable un servidor a los antivirus y tengo un problema con las firmas. Ya tengo las firmas que me detecta NOD32 localizadas, concretamente son las que os muestro en la siguiente imagen:  Uploaded with ImageShack.usEl problema es que al cambiar el valor de dichos offsets (he probado a incrementar en 1 valor cada uno de ellos de forma independendiente) el servidor no funciona como debería. O bien no conecta o bien se ejecuta y al cabo de 1 minuto más o menos da error de windows. Me gustaría pedir que si alguien tiene alguna idea de por donde seguir investigando o de que forma modificar estos offsets de forma correcta le agredeceria que me indicase el camino a seguir. Un saludo y gracias de antemano! |
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.
Saludos
|
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Harkox
Desconectado
Mensajes: 16
|
Vale ok muchas gracias, ya sabía yo que estaba haciendo algo mal. Voy a probar con olly a ver que tal se me da. Muchas gracias por tu tiempo y por la rapidez de tu respuesta.
|
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Nada, para eso estamos, cualquier duda comenta en este hlo  . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Harkox
Desconectado
Mensajes: 16
|
Pues a riesgo de ponerme pesado vuelvo a escribir en este mismo hilo. He desgargado e instalado ollydbg. Nunca he usado este programa (tengo nociones mínimas de ensamblador) y no se de que forma puedo localizar firma correcta. Es decir, necesito encontrar que instrucción en ollydbg es la que se corresponde con la FF 25 que me indica el workshop. Si alguien puede indicarme como hacerlo se lo agradecería muchisimo. Un saludo!!
|
|
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Leete ésto, seguramente te sirva: http://www.megaupload.com/pt/?d=GOQQS0W6 Pass: Y bueno, sería muy recomendable que aprendieras bien a usar ollydbg (en la web de ricardonarvaja tienes muchísima información) y todo lo que puedas sobre ensamblador. Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
Harkox
Desconectado
Mensajes: 16
|
Ok muchas gracias, estoy descargandolo y me pondré con ello a ver si soy capaz de hacerlo. También seguiré tu consejo y comenzaré a aprender ensamblador...aunque me siento muyyy pequeñito ante lo que parece una tarea muy grande  . En fin, paciencia y constancia . De nuevo muchas gracias!! |
|
|
|
|
En línea
|
|
|
|
sabeeee
Desconectado
Mensajes: 155
|
Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.
Saludos
pero ¡el detector de movimientos sospechosos?? y si el av tiene otra euristica o como se llame?
|
|
|
|
|
En línea
|
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon
|
|
|
N30h}
Desconectado
Mensajes: 34
|
Aprovecho para decir:
Sé que hay tutos por internet y tal.
Pero podría alguien hacer uno y ponerlo en manuales de elhacker.net...
Es que de esas cosas casi no hy nada
|
|
|
|
|
En línea
|
|
|
|
N30h}
Desconectado
Mensajes: 34
|
Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?
|
|
|
|
|
En línea
|
|
|
|
|
 |
