elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  manual para destapar los offset malicisosos que detectan los antivirus....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 Ir Abajo Respuesta Imprimir
Autor Tema: manual para destapar los offset malicisosos que detectan los antivirus....  (Leído 59,545 veces)
Badcode


Desconectado Desconectado

Mensajes: 2.031


sólo se que puedo ser punk-rocker...............


Ver Perfil
manual para destapar los offset malicisosos que detectan los antivirus....
« en: 20 Agosto 2004, 12:41 »

Un manual mas, bueno lo primero decir que nadie piense que con esto se pueden hacer todos los troyanos indetectables y que funcionen, pero si que dependera de a que antivirus queramos burlar, por ejemplo kav toca partes delicadas del server, asi que modificarlas es cargarselo, no siempre.Luego norton o mcafee eligen partes como el titulo,el creador, vamos cosas menos importantes, pero bien aqui aprenderemos a buscar al culpable de que los antivirus se alarmen.

OFFSET AL DESCUBIERTO

Bueno aquí una técnica algo engorrosa de buscar el offset designado por kaspersky, he de recordad que existe el programa avp offset para ello , no se si aun funcionara, pero este manual es para usarlo para todos los antivirus....

Empezaremos por bajarnos un editor hexadecimal, yo uso el hex workshop, eso a cada gusto de uno.Lo primero es una vez ejecutado el hex, es ir a file y darle a open, bien ahora toca buscar el server del troyano a retocar, una vez cargado nos aparecerá todo el rollo alfanumérico, bien apreciamos los offset que están numerados en hexadecimal, le damos a options y a file offset y elegimos decimal, así tenemos mas claro los offset enumerados....

Nos vamos hasta el final del archivo, con ctrl+fin, vemos esto............



bueno al grano, porque señalo el 00030120?, porque nos dice el total de offset que hay, vamos a dividir en dos, para ello 00030120 entre 2 nos da 00015060.

Vale vamonos al 00015060, como?, darle a  control+g, pon ese numero de offset y dale a beginning of file....



bien estamos en la mitad del archivo, vamos a llenar de ceros la otra mitad osea desde 00015060 hasta el principio, sombrea hasta llegar a 0000000, dale a control+ins, y le das a ok, ahora todo lo sombreado esta a 0.......



vale, ahora hemos eliminado del nuke una mitad de datos al llenarla de  ceros, que pasa si guardo el archivo y kav me detecta el archivo en cuestión?, nos indica que en la otra mitad la que si que tiene datos, están los offset malignos jeje, me vais pillando la idea?.
Sigamos darle a  file y a save as, ponerle u nombre nuevo al guardarlo el exe, jaja no os carguéis el original.....

Pasamos el kav, ohhhh, no dice nada, y siempre me lo detectaba, vale esto quiere decir que de 00000000 a 00015060, están los offset malignos, cargar de nuevo el server, ahora a dividir 00015060 entre 2, toca sombrear de 0007530 a 0000000, seguir el mismo ejemplo que antes pero esta vez sombrear desde 0007530 a 0000000.

Ahh el kav no dice nada, bien ya sabemos que entre 0000000 a 0007530 anda el juego, bien dividamos ese 0007530, 0003765 a 0000000, a llenar de ceros venga, vuelve a cargar el original y llena de ceros......

Ah aun no lo detecta, sigamos cercando el asunto, a dividir 0003765 entre 2, 0001882 a 0000000, lo de siempre repetir lo mismo....

Jajaja, mas de lo mismo, 00000941 a 000000000, ohh a dividir 00000941 entre 2, que rollo eh?.

Siguiendo estos pasos llego a darme cuenta que 00000200 a 00000000 esta el offset, aquí se pone mas pesado este procedimiento, yo voy de dos líneas en dos líneas rellanándolas de ceros, hasta que llego a rellenar 00000140 y la 00000120, oh aquí el antivirus no me detecta nada, dejo sola llena de ceros el offset 00000120, vaya no detecta nada el kaspersky, toca ver del offset 00000120 que parte es la que el antivirus eligió para detectar este nuke...



ohh pone ahí algunas letras que forman la palabra pelo?, jaja, vamos a ver que pasa si cambiamos una letra.



Si he marcado el numero 5045 y lo e cambiado el numero 5046, la e de pelo, es ahora una f lo veis donde lo e señalado?....

Vale ahora mismo es indetectable, hay que ver que sea funcional, primero diré que ni kav ni panda lo detectan, vaya panda usa el mismo ofsset que kav, bien norton y mcafee no detectan nunca el msnnuke, bien como hemos realizado un cambio en un offset o funciona o nos cargamos el nuke, esto es así, entender que kav por ejemplo elige offset clave de un server para si es modificado que el server no funcione, norton elige las mayores paridas del programa como offset a detectar.

Aclarar que esto es un ejemplo , alomejor es lioso lo que os digo, pero pensar que es hacer un cerco al offset ir tapando de ceros unas partes para que otras nos digan donde esta el offset, ir achicando hasta dar con el, si es un método pesado, pero no deja de ser método, y ami  este método me dejo un bonito sub7 que aun hoy en día, nadie detecta jajajaja.tendreis que probar y probar de cambiar la parte elegida por el antivirus.

Bueno hay otras técnicas por este mundillo menos engorrosas, pero así sabemos con seguridad  porque el antivirus salta, todo es luego hacer pruebas, tener en cuenta que pueden elegir mas de un offset, bueno poco a poco me reincorporo al foro tras unos meses apretadillos, nos vemos, un saludo y dejare el post abierto ya que, saldran dudas, lo e intentado explicar ehh no me jodais jaja ;D...
En línea

HaCkZaTaN

Desconectado Desconectado

Mensajes: 109



Ver Perfil
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #1 en: 20 Agosto 2004, 13:23 »

Pues me parece superbueno esta bueno alguien que no tenga ni idea de que hablas lo entendera.
Para mi el
WinHex & UltraEdit  ::)
En línea

Simbelmynë


Desconectado Desconectado

Mensajes: 856



Ver Perfil WWW
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #2 en: 21 Agosto 2004, 05:13 »

Muy bueno...
Yo tb uso WinHex
Un saludo y gracias!
En línea

gh1E

Desconectado Desconectado

Mensajes: 248



Ver Perfil
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #3 en: 21 Agosto 2004, 06:31 »

what's up....

un punto mas para el foro elhacker....

este manual esta de lujo...buena badcode...

salu2..
En línea

Si no lo sabes...averigua...
SEr o nO SeR ...( y eso a quien le importa???)
charleston

Desconectado Desconectado

Mensajes: 94


Solo lo mejor es suficiente ......


Ver Perfil
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #4 en: 25 Agosto 2004, 03:19 »

Wenas !!!

Pos nada que me lei tu manual Badcode y es muy bueno jeje xo tengo una duda,tal vez sea x mi falta de ingles xo en fin .....!!

Veras he encontrado el offset que detecta kav en el prorat xo una vez lo tengo en tu manual  cambias un numero es decir si por ejemplo es 6501 le pones 6502  pues bien eso es lo que no me aclaro a hacer  xq no se que cambiado que mientras lo detectaba salia el icono que le habia puesto luego no,por supuesto que no me ha funcionado xo tal vez sea x eso a ver si alguien puede explicarme como cambiar el offset o el numero ese...

Gracias x el manual muy weno !!

Salu2 !!!
En línea

Badcode


Desconectado Desconectado

Mensajes: 2.031


sólo se que puedo ser punk-rocker...............


Ver Perfil
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #5 en: 25 Agosto 2004, 03:27 »

bien el cambio que has realizado directamente se a cargado el server, te dire que la verdad que los de kav no son tontos, y eligen offsets "delicados", todo sera probar, añade un numero , kitaselo, en fin prueba, pero este metodo en mcafee o norton sale mejor que en kav, porque kav sabe donde elegir los offset, por algo es el mejor......
En línea

charleston

Desconectado Desconectado

Mensajes: 94


Solo lo mejor es suficiente ......


Ver Perfil
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #6 en: 25 Agosto 2004, 03:51 »

Gracias Badcode xo me refiero al hecho de cambiar el offset o el numero,como lo hago si por ejemplo el que detecta es 10023  para poner  10024  lo pongo directamente o hay alguna opcion en el editor para hacerlo??

Por lo demas probar a ver eso esta claro jeje !!

Gracias !!
En línea

Simbelmynë


Desconectado Desconectado

Mensajes: 856



Ver Perfil WWW
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #7 en: 25 Agosto 2004, 03:51 »

Algo parecido me ocurre con el beast charleston.
Al modificar el offset vulnerado dejo de ver el icono... pero iwalmente sigue siendo funcional... se lo adjudico a que dicho offset esta relacionado con el recurso de el icono... ya que el resto va bien.
Un saludo
En línea

Badcode


Desconectado Desconectado

Mensajes: 2.031


sólo se que puedo ser punk-rocker...............


Ver Perfil
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #8 en: 25 Agosto 2004, 04:11 »

con la opcion de fill cambias los offset, eso si tienes el hex work, bueno decir que un dia en otra web publicamos los offset que no detectaba kav, y kav rectifico jajaj, estos de kav se meten en foros, los jodidos.....

saludos.
En línea

octalh


Desconectado Desconectado

Mensajes: 518


"El sueño de la razón produce monstruos"


Ver Perfil WWW
Re: manual para destapar los offset malicisosos que detectan los antivirus....
« Respuesta #9 en: 27 Agosto 2004, 09:33 »

que tal esta muy bueno el manual ;D  pero tengo una duda
he seguido el procedimiento hasta dar con el offset que detecta kav pero cuando lo cambio solo le modifico el numero por otro y con eso basta para dejarme inserbible el archivo :-\ ??? que debo hacer ::) acaso es tan vulnerable ese offset que ya no puedo modificarlo?
En línea

「エステバン 」
ReCoLeCtAr DaToS eS SoLo El PriMeR pASo A la SaBiDuRIa
PeRo CoMpArTiR DaToS eS eL pRiMeR pAsO a La CoMuNidAD...

http://www.octalh.mx.gs/




http://www.aztekmindz.org

Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines