Tu comunidad de Seguridad Informatica

Para ver Todo el contenido del foro es necesario estar Registrado!
Antes de comentar o Aportar es Obligado Leer Las: Reglas | Rules
Ya Esta Disponible al publico "LeProject" el Videojuego del Foro Click Aquí Para Ver el Post.
Pitbull Security Labs "Extras" Esta Disponible! [ENTRA]

No estás conectado. Conéctate o registrate

Ver el tema anterior Ver el tema siguiente Ir abajo  Mensaje [Página 1 de 1.]

avatar
Administrador
Administrador

Ver perfil de usuario http://www.pitbullsecurity.org
el Vie Feb 04, 2011 11:35 am
Metal_Kingdom escribió:
En principio este tip iba a ir para la zona modding, pero decidí
colocarlo al público, y si se chisca pues que se chisque, ya nos
encargaremos de nuevo

Matar firma de BitDefender ZGY5 y firma de F-Prot Trojan 9 Maximus:

La cosa es muy simple, estas firmas salen con facilidad si estas firmas solo saltan al encryptar, qué tenemos que hacer?

Vamos a Hex WorkShop y agregamos 300 bytes con 00 al stub, esto cómo se hace?

Cargamos el stub en Hex Workshop, nos vamos a la última offset y pulsamos click derecho o Control + Ins:

Metal_kingdom escribió:
Y agregamos 300 Bytes con 00, esto podría servir como un ExePump manual tambien..:



Metal_Kingdom escribió:Y listo..

Si
solo necesitamos sacar la firma de F-Prot, en lugar de agregar 300
bytes, agregaremos 10 (esto ya lo conocíais supongo). Si saltan los 2
AVs entonces agregamos los 300 bytes y listo, en cualquier caso para esa
firma de Bit los necesitamos.

Es muy poco tamaño, por lo que no se notará nada..

Es
posible que al sacar la ZGY5, salte la ZGY8, en esa estoy aun mirando,
algunas veces muere agregando 1000 bytes, pero eso ya es otra firma.

Solo es aplicable cuando las firmas solo saltan en el encriptado y en el stub no son detectadas.

Muchos
direis "yo las saco de la cabecera", bien... pero yo personalmente
prefiero esta forma, cuanto menos se toque la cabecera, menos nos joderá
el amigo del paraguas (Avira).

Nota:
Si agregamos
importaciones (por ejemplo como método antiavira), agregaremos estos
Bytes después, ya que sino habermos agregado tamaño en vano y tendremos
que volver a hacerlo.

Espero que os sirva.

Un saludo

Gracias a Metal_kingdom por compartir este tuto,todo el crdito a el.

Comentar Es Agradecer!


___________________
Admin: Pitbull Security Labs , Colaborador: Indetectables , Moderador: Level-23
avatar
Usuario
Usuario

Ver perfil de usuario
el Vie Feb 04, 2011 6:30 pm
Esto es un gran aportazoooo!!!!.... xD

avatar
Usuario
Usuario

Ver perfil de usuario
el Sáb Feb 05, 2011 4:55 pm
Todo lo que viene de Metal es grande... atentos a este tip que de seguro es muy efectivo...

Gracias por traerlo -slandg-

4Contenido patrocinado 



Ver el tema anterior Ver el tema siguiente Volver arriba  Mensaje [Página 1 de 1.]

Permisos de este foro:
No puedes responder a temas en este foro.