Hola a todos..!
Bueno, el propósito de este manual es enseñar a los que tienen unos conocimientos nulos sobre el tema de modificar exe's mediante el método hexadecimal.
El manual se hará en varias partes que iremos colgando en el blog, en esta primera parte se intentará enseñar a usar un editor hexadecimal, encontrar la o las firmas que detectan los AV's de forma manual y a modificar los offsets detectados.
En las posteriores partes se irán explicando otras formas de modificar,formas más automatizadas de localizar las firmas y alguna que otra cosa interesante, recordaros que las dudas que tengáis sobre el manual podéis preguntarlas en el blog.
Aquí podéis descargar la primera parte del manual, esperando que sea de vuestro agrado.
(Click en la imagen para descargar)
Saludos a todos...!!
cLn
26 de septiembre de 2009
Suscribirse a:
Enviar comentarios (Atom)
7 comentarios:
hola que tal, me sirvio mucho este tutorial muchas gracias por este aporte; pero tengo un problema, ya indetecte el stub de SCBLabsCryptor al karpesky, a la hora de encryptar el server del pison con todo va muy bien, pero al ejecutarlo me sale un aviso del karspesky diciendo que ha detectado un archivo llamado tmp.exe
aclaro que antes de ejecutarlo, analize el server del poison encryptado y el av no lo detecto.
Gracias espero me ayuden
ATT: herdsman
Hola herdsman..! Soy cLn, aunque la duda no está relacionada exactamente con lo que es el método hexadecimal en si,te respondo hasta donde se... normalmente existen 2 tipos de crypters,scantime ( solamente hacen indetectable el server al escaneo normal del Av) y runtime que ademas de hacerlo indetectable en scantime también lo hace en runtime o en tiempo de ejecución, de los crypters runtime hay muy pocos que escapen a la defensa proactiva del kaspersky,tal vez el SCB Lab's Cryptor no escape a esa defensa proactiva y por eso detecta el tmp.exe, puedes probar a hacer indetectable el server del poison usando el mismo método hex que has usado para el crypter y comentar la experiencia,tal vez ese archivo "tmp.exe" lo cree el server del posion al ejecutarse,prueba y cuentanos.
saludos !
hola cLn, estoy intentando con el server, pero la verdad es que tiene muchas firmas y siempre que hago algo cero me sigue detectando... seguire intentando y muchas gracias por la respuesta.
Herdsman
lo mejor seria un troyano con codigo abierto encriptas las apis modificas un poco el codigo y listo amigo att fabriany
ola gracias x el tutorial aunq no lo e podido probar puesto q el octopus me da un error q ya deje en los comentarios de este pero aora lo intente con el t3c4i3´s el cliente q crea y me da este error espero q me tire con algun troyano aunq sea xD a y no me detecta el stub ;) mejor dicho el stab ejje : Run-time error "75" path/file access error
Muy buen tutorial, muy bien explicado y el metodo es mucho mas facil que los otros. Ademas muy efectivo :E
hola sharki que buen tuto , pero tengo un problema , instale el avg y tengo todas las herramientas descargadas , pero cada que corro las herramientas para empezar el tutorial el antivirus me las detecta y no me las deja usar , hace mucho mire un metodo para que el antivirus no me bloquee las herramientas era algo de dar permiso a carpetas , me podrias explicar como solucionar esto por favor .
Publicar un comentario