Foro de elhacker.net

hola, quisiera saber como dice el titulo de el tema, como puedo hacer funcionar mi troyano al cual le borre la firma, me podrian ayudar? se los agradeceria.  ;D

Qué firma?

Hola! Bueno Yo no soy un experto y tampoco te explicas mucho, pero voy a suponer que tenes un troyano al cual atravez de algun metodo (XOR, RIT, Dsplit, AvFucker, etc) identificaste el offset con la firma detectada y lo modificaste y ya no te lo detecta pero ahora no te funciona...si esto es asi entonces lamento decrite, que tambien supongo, que ese offset que hizo indetectable tu troyano en realidad lo hizo obsoleto tambien ( puede que lo ayas roto y por eso no es detectado como amenza por el av, por que en realidad no hay tal amenaza ó tal vez es una firma que esta ddemaciado quemada, y es lo unico que podias cambiar para que no lo detecte pero no se puede hacer sin romper el programa...) Por ende mi consejo es que sigas experimentando, esta claro que el troyano no cumple sus funciones pero ahora tendrias que averiguar bien a que se debe, si no es algo muy quemado, como un modulo de propagacion USB, entonces segui buscando otros offsets que puedas modificar pero que te den el resultado que buscas, que obviamente es que sea indetectable y siga funcionando, te recomiendo que uses un crypter, si tenes tiempo que hagas el tuyo propio, hay muchos tutoriales que muestran como hacerlos paso a paso, mi humilde consejo final es, empeza simple y despues anda agregando la complejidad, asi va  hacer mas facil detectar los problemas! Exitos y suerte!

Si te refieres a remover firmas de antivirus entonces eso es perdida de tiempo mejor comprate un crypter.

hola me habian comentado que modificar el offset de la firma me hacia indetectable el troyano y luego mediante ensamblador lo podria hacer funcional, pero no se realizar el segundo para que es hacerlo funcionar con ensamblador. alguna idea?

Es total perdida de tiempo sólo haces quedar innutilizable tu troyano; modificar/nopear bytes es inutil con el fin de remover firmas de Antivirus
y en la mayoria de los casos estarias afectando la infraestructura del malware que quien sabe como es en realidad y podria afectar la ejecución
y dejar de funcionar. 30 min como maximo es lo que las compañias Antivirus es lo que necesitan una vez que ya tiene tu malware para volverle a
poner nuevas firmas lo cual a ti te toma horas para removerlas.

Si nopeas instrucciones crashearás el programa por lo cual deberías usar una alternativa me explico: si la instrucción a nopear es por ejemplo:


Podrías modificarlo por un JMP a otra sección del código para que haga una operación similar:

Eso implicaria modificar el diseño del malware que quien sabe como es en realidad y en la mayoria de los casos
dejaria de funcionar pero a pesar de eso ¿ porqué crees que es bueno remover firmas de Anvitirus modificando los bytes?