|
Título: hallar y modificar firmas de virus de un crypter. Publicado por: robertoht en 1 Abril 2012, 06:23 am Ando buscando un buen metodo BIEN EXPLICADO para encontrar y modificar las firmas de virus de un crypter, preferiblemente que no sea el clasico manual del metodo rit de OCTALH, ya que no entendi nada y soy muy principiante en estas cosas.
Muchas Gracias. :huh: Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: rembolso en 1 Abril 2012, 19:53 pm Mira las firmas de los virus son únicas y poseen un carácter especial como la suma de bit o algún tipo de logaritmo para identificarse. puesto ya que si modificas esta firma el virus se vera obligado a poner otra , ya que no la reconocerá, explícate bien lo que quieres hacer (Lo que tienes en mente) ,un crypter lo que hace es incluir el codigo del archivo(ejecutable,dll,*.*) lo cifra, genera otro ejecutable,coloca la firma, y coloca el archivo cifrado.
Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: Don_K en 23 Mayo 2012, 01:33 am realmente si buscas videotutoriales en youtube veras que es muy sencillo y esta bastante interesante.... lo unico malo que igual cuando salio ese metodo funcionaba bien... pero ahora lo normal es que los antivirus cojan 200 firmas d un archivo... -.-" (((exagerando)))
Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: The Swash en 26 Mayo 2012, 00:21 am Lo que robertoht busca es encontrar binariamente los sectores firmados para posteriormente cambiarlo y pasar la detección estática. Roberto, lo que buscas es bastante tratado y se teóricamente podríamos decir que es un cercado de firmas. Te invito a utilizar el buscador por la palabra indetectable seguro encontrarás muchos casos.
Ahora no creo que encuentres un manual en todo el sentido de la palabra que cubra todo el tema, lee, investiga y practíca. PD: El manual que mencionas es buena referencia. Un saludo, Iván Portilla. Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: [Zero] en 26 Mayo 2012, 02:41 am Buf, si no te sirve el paper de octalh porque no lo entiendes, debes aprender más cosas antes de hacer algo así, para seguir ese paper ni siquiera hace falta saber ASM, e incluso te dice paso a paso que hacer con Olly, y en castellano, si no puedes seguirlo debes aprender más, te recomiendo intentar aprender ASM o el siempre genial "Introducción al cracking con OllyDbg desde cero" :
Código: http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/EN%20FORMATO%20PDF%20por%20OTUP/ A partir de ahí no tendrás problemas en entenderlo y en hacer cosas más elaboradas. Saludos Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: m0rf en 27 Mayo 2012, 22:27 pm Ayer leí este documento de octalh por pura casualidad y como bien dices es realmente fácil. Básicamente es copiar y pegar instrucciones en el olly.
Bueno ya que estoy aquí, pregunto una cosa que no merece ser puesta en un tema nuevo. Por que todos los crypters que he visto tienen interfaz gráfica? Nadie hace ya crypters para la linea de comandos? Lo digo porque todo lo que he visto tiene interfaz, que es en plan para firmar? Nada solo por curiosidad, el programa funcionará igual por lo que tengo entendido. A ver si alguien me comenta sobre los crypters de linea de comandos. Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: [Zero] en 27 Mayo 2012, 22:49 pm Pues la gran mayoría de crypters tienen interfaz gráfica porque la gran mayoría de crypters los hacen en VB6, y la mayoría de los autores no tienen ni idea de lo que hacen, sólo se encargan de copiar y pegar módulos como los de Cobein o Karcrack. Y bueno, aparte, tú si haces un programa gratuíto es para que la gente lo use, y sabes que lo usará más gente si haces una interfaz gráfica.
Saludos Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: m0rf en 27 Mayo 2012, 23:00 pm Gracias por los datos.
Hombre es que yo a un crypter por consola le veo muchas ventajas, puedes automatizar muchas cosas :/ Evidentemente si quieres que la gente diga, que tía más buena, me lo voy a bajar. Pues si ponle interfaz gráfica xD. Pero quiero algo funcional y potente, me dan igual los colorines. Bueno ya que estas por aquí te comento una ultima cosa, en realidad supongo que es factible al 100% pero hago la pregunta para saber si realmente tiene utilidad. Sirve de algo que encripte con dos encriptaciones una encima de otra? O normalmente es una o otra. Que diferencia hay? Gracias desde ya [Zero] estoy casi poniéndome manos a la obra en el tema, pero quiero todos los fundamentos que pueda tener antes empezar a programar las partes del software que quiero crear. Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: The Swash en 27 Mayo 2012, 23:07 pm Si planeas "cifrar" algo previamente "cifrado" teóricamente pueden haber grandes posibilidades de que falle, y la indetectabilidad dependería estrictamente del stub del último crypter con el que "encriptaste".
Un saludo, Iván Portilla. Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: m0rf en 27 Mayo 2012, 23:19 pm Si planeas "cifrar" algo previamente "cifrado" teóricamente pueden haber grandes posibilidades de que falle, y la indetectabilidad dependería estrictamente del stub del último crypter con el que "encriptaste". Un saludo, Iván Portilla. Claro yo lo que habia pensado es por ejemplo, he visto que hay crypters con 2 stubs. De 3 no he oido hablar. No me preguntéis como funciona con 2 stubs pero supongo que o se alternar de alguna manera dependiendo de la key que generes. Una pregunta, no me lapidéis por favor. El stub es diferente en cada cifrado no? Bueno yo creo que no pero seria lo ideal desde mi punto de vista. Desconozco esta parte porque no he experimentado creando ningún crypter todavía. Así pues el stub es igual o diferente por cada archivo que le pongas? Título: Re: hallar y modificar firmas de virus de un crypter. Publicado por: roilivethelife en 1 Junio 2012, 20:18 pm Claro yo lo que habia pensado es por ejemplo, he visto que hay crypters con 2 stubs. De 3 no he oido hablar. No me preguntéis como funciona con 2 stubs pero supongo que o se alternar de alguna manera dependiendo de la key que generes. Una pregunta, no me lapidéis por favor. El stub es diferente en cada cifrado no? Bueno yo creo que no pero seria lo ideal desde mi punto de vista. Desconozco esta parte porque no he experimentado creando ningún crypter todavía. Así pues el stub es igual o diferente por cada archivo que le pongas? Eso de 2 o 3 stubs significa que puedes usar uno u otro, pero nunca los dos a la vez. Los antivirus detectan el codigo del stub en los archivos encryptados, caualquier archivo cifrado es stub+ejecutable_encriptado Tenniendo varios stubs consigues que si uno es detectado, pos usas el otro :D |