Hola, encima que te diho gracias ehh.
Podrías ser más amable solo estaba preguntando.
Yo he tenido respeto tenlo conmigo también.

Att N30h}

Una pequeña duda.
¿Porque no se permite descargar algo?
Ej: por que no puedo poner el link de el NetCat ?
O explicarme mejor eso.

Att N30h}

Saludos, me encanta el metodo.
Felicidades además sirve para aprender mucho, en vez de ya tener el Stub indectable.
Yo también he encontrado metodos parecidos.
Una última cosa, se que va a ser difícil.
Pero se podría hacer un pequeño scrip para que hiciese todo eso dando un solo click ?

Gracias !

Att N20h}

Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las  detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?

Gracias entonces, me acabas de aclarar que no vale la pena utilizar un troyano ya hecho, seria mejor dedicar el tiempo a la creacion de un troyano desconocido, para evitar la encriptacion incluso, pues al ser desconocido no haria falta ocultarlo, por lo que habria que dedicarse mejor a mejorar que la actividad del troyano no sea monitoreada ni supervisada.

Aunque la idea de que cualquier troyano CONOCIDO pueda ser ejecutado sin que lo reconozcan los AV, para muchos sería una buena herramienta.

Un saludo.

siempre al final tendras el virus o troyano en la memoria en abierto una vez descifrado y cualquier AV decente lo detectará.

ok vamos por partes, cogemos el archivo de test, lo invertimos por ejemplo, lo ciframos con xor 170 y si quieres podemos añadir un SHR a la derecha y el acarreo que provoque lo colocamos como primer bit de cada byte, ya no tiene la forma original ni de lejos, ahora nos vamos a un programa que lo lee por ejemplo de un archivo donde lo tenemos ya transformado, o no, mejor no lo lee de ningun sitio, el archivo lo tenemos integrado en modo binario dentro del propio programa, y este programa coge el codigo del archivo de test cifrado y dentro de una variable o de una zona de la memoria lo desciframos, para despues ejecutarlo y lo ejecutamos desde este mismo programa, y los AV no lo detectan. ¿estas realmente seguro?, me da la impresion que los AV BUENOS, lo detectaran. ¿no crees?

Actualmente se pueden diferenciar los Crypters (Cifradores) en dos ramas. Los scantime, que cuando son ejecutados sencillamente descifran en el ejecutable,lo guardan en el disco duro y lo ejecutan... O runtime, que descifran el ejecutable y lo ejecutan desde la memoria...
El scantime seria detectado ya que esta dejando en el disco duro el ejecutable descifrado, por lo que el antivirus lo detectara sin problema, en cambio el runtime no sera detectado, porque ningun AV analiza todo la memoria de todos los procesos en busca de codigo malicioso. Los runtime a veces son detectados por la defensa proactiva o heuristica.

Quitando el polimorfismo, cual seria la ventaja de ejecutar instruccion por instruccion? Me da la sensacion de que seria realmente inestable... ya que es muy dificil abarcar todas las posibles acciones que podria hacer el ejecutable...