Foro de elhacker.net

Hola,

Este post lo abro para que muchos dejen de andar preguntando lo mismo de siempre.

---

1- ¿Como vuelvo mi troyano indetectable?

Para que sea indetectable, en primera el mismo debe ser bueno; Mejor dicho debe usar:

[-] Conexion Inversa
[-] Inyeccion en Memoria
[-] Melt

Luego usas una serie de herramientas como: Crypters, Joiners/Binders y AV/FW Killers (Muchas veces incorporados en los Joiners/Binders).

Tambien puedes modificar Offset pero eso ya es un temas mas avanzado y el cual yo no conozco.

2- ¿Como consigo un buen troyano?

2.1 Antes de descargar un troyano debemos desactivar la defensa de nuestros AntiVirus. En especial si tenemos uno con defensa proactiva. ;)

2.2 Tambien debemos tener una buena fuente de descarga para que no nos infecten a nosotros. ;)

2.3 Hay que estar muy pendiente de las actualizaciones y los troyanos que van saliendo. Por ahora se puede considerar que los mejores son:

Poison Ivy 2.0 - 2.3 (http://poisonivy-rat.com/)
Bifrost 1.2 (http://ns2.elhacker.net/h/Bifrost12.rar)
DarkMoon 4.11 (http://www.trojanfrance.com/index.php?dir=Trojans/&file=DarkMoon%20v4.11.zip)

3- ¿Donde puedo conseguir buenas herramientas para camuflar? ¿En que orden usar las herramientas?

Les dejo una buena lista ;):

[-] Crypters:

[-] Cryptic v2.1 - EXE Crypter:
http://foro.elhacker.net/index.php/topic,181507.0.html

[-] StasFodidoCrypter 1.0:
http://foro.elhacker.net/index.php/topic,176399.0.html

[-] Joiners/Binders:

[-] Cactus Joiner 2.5:
http://foro.elhacker.net/index.php/topic,131276.0.html

[-] Fire Joiner 2.0:
http://foro.elhacker.net/index.php/topic,182917.0.html

[-] RedBinder 1.1:
http://foro.elhacker.net/index.php/topic,112502.0.html

Ahora presta mucha atencion porque necesitaras saber en que orden usar estas herramientas:

Muchas personas lo harian de cualquier manera (lo he comprobado) pero en realidad necesitamos tener un orden. Imaginate que priemero uses el joiner y luego el cryter. Ese server quedara inservible un 98% de las veces. Porque los joiners/binders usan firmas para poder dividir los archivos y entonces los crypters van a dañar esas firmas o palabras y cuando el joiner quiera hacer su trabajo no va a encontrar su firma y va a tirar error. Recuerda, siempre el Joiner de ultimo. ;)

Asi que:

Server > Joiner > Crypter. NO
Server > Crypter > Joiner. SI

Como dice el titulo es un Mini-Tutorial asi que ha llegado a su fin. ;)
Espero les guste y lo sepan utilizar. ;)

Pero si el stub del Joiner es detectado que pasaria  :-\??

gracias...

Saludos.-

Para eso es el crypter. Ademas los joiners tratan de que no sea asi. ;)

O por lo menos eso intento yo con el mio...! :D

Breve pero completo a la ves, muy buen aporte freeze!!!


SALUD.O.S

Hay alguna forma de saltar la defensa proactiva del KIS?   :rolleyes:

me preguntaba si era posible utilizar varios crypters en un orden especifico para hacer aun mas indetectable nuestro server, es esto posible??

Todo es cuestión que hagas tus propias pruebas

hola freeze, mi preguntas es que el crytip exe , cuando compilo el server y lo prubo no funka, ni nada, utilizo el bifrost, help, y agregame al msn please, alexkof158@hotmail.com

Para eso esta el post del Cryptic ;) tienes que hablar con TugHack para ser mas especificos..!

Gracias por el mini-tutorial , ayuda mucho  :D

Muy buen tuto  :xD

Saludos

me podrias ayudar es q al configurar elserver lo envion lo abren pero no me manda la info para conectarme xD espero tu ayuda

una pequeña duda.

Tengo el poison iv 2.2, creo el server, lo blindo con themida 1.8.5.5

despues lo paso por el iexpress y por ultimo lo uno a un archivo por el sfx o cactus

despues lo envio y el antivirus no lo detecta.

Pero le das doble click para abrirlo y ZASSS en toda la boca.

Lo pilla el cabron del AV. hago algo mal? o es que eso es normal?

 q protecion mas le de veria dar?

Esto esta muy claro en el manual.

- No abuses en la protección.
- Ten orden al momento de protejer.
- Haz tus propias combinaciones.

Haber maxo, parece que no quede claro. Al usar mas de 1 cripter el server se jode. Generalmente solo se usa uno solo...

No es por ayudar ya que no me gustan los lammerpollas, pero solo hacen que repetirse estas preguntas y al fianal solo se habla del orden del crypter con el joiner.XD.

Muy bueno el aporte ;)
toda la razon cuando dices lo del orden si el orden no es adecuado poco puedes hacer... y si el troyano no es bueno =...jajajaja

Muchas gracias

Podria ser?... Server>Crypte>Joiner>Themida?...

Orden Correcto:
Server>Crypter>Themida>Joiner

Te recomiendo que sigas el manual porque eso es muchisima proteccion y podria quedar inservible.

OK, lo puse en ese orden por que algunos joiner son detectados, gracias por la aclaracion.
Ah, una cosa mas, que joiner me recomiendas?

Cactus Joiner
Fire Joiner
Red Binder

Busca.!!

quisiera encontrar el crypter v2.3 o el v2.1 pero el enlace que lleva a la pág. de autor dice que no hay más descargas disponibles por el momento. ¿dónde lo puedo conseguir?

Soy realmente nuevo en esto, así que paciencia jaja

Por cierto, el themida, en su versión 1.8.5.5 se me crashea cuando está generándose...vamos, que salta un macro error y se cierra...alguien sabe porqué?

1.- Tughack vende esas versiones del crypter. También él ha decidido ya no poner la descarga.
2.-¿Te has infectado (o crees) con algún server protegido con Themida?

no estoy infectado...98% seguro.

bueno, lo del problema con el themida lo he solucionado pasándo un crypter que me he encontrado por ahí (minke o fearz) y luego ya paso el themida sin problemas.

el problema que tengo ahora es otro (bastante grave). A ver, supongo que akí en este pos no irá, pero lo dejo caer:

uso el poison ivy 2.3.2....con mi no-ip, mis puertos más abiertos q las patas de una guarra, y todo perfectamente configurado.

creo mi server y crypto con fearz......

una vez listo paso el themida con una configuración que me encontré por ahí y que no lo detectan la mayoría de los antivirus (comprobado en virustotal)

"total", que envío el server comprimido, sin comprimir, y como sea....a otro pc que tengo....y nada...lo ejecuto y nada...no conecta con el poison ni queriendo...y créeme...he buscado ya por todos lados a ver qué puede ser :S:S:S

vale, me autorespondo (sí sí, soy autodidacto jajaj)

en verdad tenía dos problemas:

el primero es que cuando le pasaba el crypter al server de poison y luego el themida me lo dejaba inservible (no sé porqué ¬¬)


el que le paso ahora es una versión de "open crypter agostol_" , es decir:

server_poison-----> open crypter _agostol_-------> themida bien configurado.


y el server está se me queda perfectamente camuflado y funcionable e infectable.

Peeero!! si quiero unirlo a algún otro archivo para que se ejecute oculto...ya saltan los antivirus a pegar voces como posesos....

o tengo que mandar el server tal cual pelao(después del themida) a la víctima (a víctimas q no hayan hecho ni la EGB  o la ESO o como se llame ¬¬) o sino me como el moco....

PREGUNTA: qué binder o joiner es bueno que no lo detecte los antivirus?!?!?!?!?!?!?!?

he probado el cactus joiner 2.5 (saltan los avs)
he probado el red binder 2.0 (nada de nada)
he probado muxos más y nada... :S:S:S:S

help me!

aver, que no se trata de hacer indetectable el server...que eso lo puedo hacer perfectamente; se trata que a la hora de pasarle un joiner todos los avs petan!!! (o la mayoría de ellos) entonces de nada sirve que haga indetectable el server si luego con el joiner va a saltar.... no sé si me explico...

eso pasa porque los joiner que usas son detectados, lo mejor es que uses algun joiner que no sea detectado.

saludos...

premio!!

pero eso ya lo sabía  ;D lo qué no sé es cómo conseguir un joiner que a día de hoy, 24-ene-2008, no sea detectado (he buscado...he buscado lo imbuscable...)

otra cosa...


server poison --->armadillo bien configurado ---->iexpress bien configurado ---->reshacker cambio de icono ----> exescoute cambio de info = SERVER ROTO.

es más...haciendo pruebas he llegado a que:

server poison --->armadillo bien configurado ---->iexpress bien configurado = SERVER ROTO....¬¬

no sé si el iexpress o el armadillo se cargan el server...o ké pasa...no sé xq...xq el armadillo me protege bastante mejor que el themida :S así que es una pena que me rompa el server

Es ell armadilo -.-!! 99.9% seguro. :D

Si buscas un super joiner y tal entonces te digo:
has buscado...has buscado lo imbuscable...

jaja lo mismo "superjoiner" es colarse... XD....me refiero a un joiner que no lo detecte la inmesa mayoría...supongo que me has entendío no XD .


pero weno..seguiré alerta por si sale! jeje salu2 y thx

Normalmente los joiners de las empresas grandes (el iexpresss o el de sony (no me acuerdo el nombre del joiner ahora)) son indetectados por los av. Sin embargo estos analizan mas alla del stub del joiner y pueden cazar tu server.

Ahora mi pregunta, como va eso de la inyecciones en memoria????? busque por ahi pero no encontre nada al respecto, lo más parecido es el método meepa, va bien, pero tiene sus problemas con bifrost.

voi a probarr, tngo el spy-net 2.6, e indetectado el server con un crypter, el iexpress y lo e decorado con el reshacker, pero solo es indetectable a tres antivirus de 16, necesito un nuevo metodoo..

Más de dos años desde la última respuesta, no revivas temas tan antiguos.

Saludos