elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Cambiar firmas detectadas.
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Cambiar firmas detectadas.  (Leído 10,411 veces)
Harkox

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Cambiar firmas detectadas.
« en: 15 Febrero 2011, 14:33 pm »

Hola a todos, escribo este mensaje por que estoy intentando dejar indetectable un servidor a los antivirus y tengo un problema con las firmas.
Ya tengo las firmas que me detecta NOD32 localizadas, concretamente son las que os muestro en la siguiente imagen:




Uploaded with ImageShack.us

El problema es que al cambiar el valor de dichos offsets (he probado a incrementar en 1 valor cada uno de ellos de forma independendiente) el servidor no funciona como debería. O bien no conecta o bien se ejecuta y al cabo de 1 minuto más o menos da error de windows.
Me gustaría pedir que si alguien tiene alguna idea de por donde seguir investigando o de que forma modificar estos offsets de forma correcta le agredeceria que me indicase el camino a seguir. Un saludo y gracias de antemano!
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Cambiar firmas detectadas.
« Respuesta #1 en: 15 Febrero 2011, 14:47 pm »

Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Harkox

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Cambiar firmas detectadas.
« Respuesta #2 en: 15 Febrero 2011, 14:54 pm »

Vale ok muchas gracias, ya sabía yo que estaba haciendo algo mal. Voy a probar con olly a ver que tal se me da. Muchas gracias por tu tiempo y por la rapidez de tu respuesta.
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Cambiar firmas detectadas.
« Respuesta #3 en: 15 Febrero 2011, 14:58 pm »

Nada, para eso estamos, cualquier duda comenta en este hlo  :P.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Harkox

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Cambiar firmas detectadas.
« Respuesta #4 en: 15 Febrero 2011, 16:12 pm »

Pues a riesgo de ponerme pesado vuelvo a escribir en este mismo hilo. He desgargado e instalado ollydbg. Nunca he usado este programa (tengo nociones mínimas de ensamblador) y no se de que forma puedo localizar firma correcta. Es decir, necesito encontrar que instrucción en ollydbg es la que se corresponde con la FF 25 que me indica el workshop. Si alguien puede indicarme como hacerlo se lo agradecería muchisimo. Un saludo!!
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Cambiar firmas detectadas.
« Respuesta #5 en: 15 Febrero 2011, 17:42 pm »

Leete ésto, seguramente te sirva:

Código:
http://www.megaupload.com/pt/?d=GOQQS0W6
Pass:
Código:
http://www.octalh.mx.gs

Y bueno, sería muy recomendable que aprendieras bien a usar ollydbg (en la web de ricardonarvaja tienes muchísima información) y todo lo que puedas sobre ensamblador.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Harkox

Desconectado Desconectado

Mensajes: 16


Ver Perfil
Re: Cambiar firmas detectadas.
« Respuesta #6 en: 15 Febrero 2011, 19:27 pm »

Ok muchas gracias, estoy descargandolo y me pondré con ello a ver si soy capaz de hacerlo. También seguiré tu consejo y comenzaré a aprender ensamblador...aunque me siento muyyy pequeñito ante lo que parece una tarea muy grande :D . En fin, paciencia y constancia :D . De nuevo muchas gracias!!
En línea

sabeeee

Desconectado Desconectado

Mensajes: 155


Ver Perfil
Re: Cambiar firmas detectadas.
« Respuesta #7 en: 21 Febrero 2011, 23:57 pm »

Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.

Saludos
pero ¡el detector de movimientos sospechosos?? y si el av tiene otra euristica o como se llame?
En línea

"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon
N30h}

Desconectado Desconectado

Mensajes: 34



Ver Perfil
Re: Cambiar firmas detectadas.
« Respuesta #8 en: 13 Marzo 2011, 09:27 am »

Aprovecho para decir:
Sé que hay tutos por internet y tal.
Pero podría alguien hacer uno y ponerlo en manuales de elhacker.net...
Es que de esas cosas casi no hy nada
En línea

N30h}

Desconectado Desconectado

Mensajes: 34



Ver Perfil
Re: Cambiar firmas detectadas.
« Respuesta #9 en: 14 Marzo 2011, 11:39 am »

Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las  detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines