Título: Evitar las firmas genericas de los ANTI Publicado por: Timerlux en 7 Febrero 2012, 18:09 pm hola a todos, me preguntaba si alguien sabe como conseguir esto, es muy facil modificar el code de un crypter, y que los AVs no puedan identificar que bicho es,
pero si saltan los AVs marcandolo como generico o sospechoso. No estoy seguro pero creo que lo hacen viendo las Api que usa el crypter, la sección import del executable donde vienen todas las llamadas a funciones externas. pero ni idea. alguien sabe si es posible hacer un crypter fud fud, el visual basic es muy propenso a ser detectado como virus generico, alguien sabe si se puede hacer Fud un crypter VB? gracias a todos y saludos. Título: Re: Evitar las firmas genericas de los ANTI Publicado por: Karcrack en 7 Febrero 2012, 21:52 pm Hacer FUD un crypter de VB6 es difícil. Pero no imposible. Los pasos a seguir son:
Ya está. Básicamente con que el código sea tuyo la cosa se facilita mucho. Título: Re: Evitar las firmas genericas de los ANTI Publicado por: Timerlux en 7 Febrero 2012, 22:19 pm Gracias Karcrack
hace años q olvide el mundillo y la cuenta que tenia aqui aun sigue jajaj he estado haciendo pruebas en un scaneador de archivos online y quitando codigo comprometedor y scaneo, quito y escaneo, quito y escaneo, hasta dejar el archivo casi sin nada, con un msgbox "hola" y no le he visto logica alguna al asunto, siempre hay algunos que detectan generico, incluso creo ha habido 2 AV que detectan solo por el nombre de archivo cuando este se llamaba stub, creo que al pobre VB6 lo han condenado ahora estoy modificando un crypter no vb, por cierto sabeis si los antiguos bichos como flux, bifros y esos funcionan en vista y 7? saludos otra vez ;) Título: Re: Evitar las firmas genericas de los ANTI Publicado por: Karcrack en 7 Febrero 2012, 22:49 pm VB6 ha sido tristemente condenado por algunas compañías de AVs...
Respecto a lo que preguntas sobre esos viejos RATs... algunas funciones no funcionan correctamente, pero en esencia (ejecutado con privilegios de Admin) deben funcionar. Tal vez no el PoisonIvy ya que su sistema para sacar el puntero de KERNEL32 es obsoleto, pero parcheando debería ir bien. Título: Re: Evitar las firmas genericas de los ANTI Publicado por: Timerlux en 7 Febrero 2012, 22:59 pm vale ya veo creo entenderlo pero yo no se parchear las llamadas a kernel y seria una aventura de demasiado tiempo, entonces cuales hay disponibles ahora me refiero a de los buenos, no Rats chorras de esos de te abro el cd y ahora te lo cierro jajajajaj
cuales son los populares ahora? ;) Título: Re: Evitar las firmas genericas de los ANTI Publicado por: Иōҳ en 12 Febrero 2012, 18:41 pm Él dijo para sacar el puntero a kernel32, no para parchar las llamadas a kernel...
Nox. |