• Mod!

  • Plantea tus dudas sobre malware a los compañeros del foro.
Plantea tus dudas sobre malware a los compañeros del foro.
 #494527  por kakarot88
 07 Feb 2019, 20:33
A ver...

estoy haciendo esta mod

Imagen

Me quedan esos que con avfucker no me salen... el entrypoint esta movido, kernel32 cambiado y las tablas modificadas también... ajjjj, que me recomendáis?? además es que esos son los más comunes los que quedan, joder y a 8 me jodería darme por vencido...
 #494528  por TITAN
 07 Feb 2019, 23:36
Avg y avast comparten firma salen con dsplit y eset seguramente tiene muchísimas firmas sale con dsplit y signature fucker > creo que se llamaba así el método.
Imagino que usaste tambien olly dbg para modear menos avira el resto con dsplit y avfuker deberian salir. Si logras limpiar mas el stub después te digo algunos tips para sacar avira no es seguro que funcione pero puede que si. Igual no te ilusiones mucho cuando encryptes van a saltar bit defender y 4 o 5 mas. Revisa siempre que el anotador encryptado siga funcional porque si no vas a perder cantidad de tiempo al pedo. Suerte !
 #494534  por kakarot88
 11 Feb 2019, 20:02
Pues con DsPlit y avfucker me borra todos todos los offsets... asi que imposible, eset si lo logre sacar, lo tengo en 7... pero el maldito avg y avast me estan dando la lata, mira que siempre suelen ser los primero en salir... creo que lo dejo asi.... no doy con manera, voy a buscarme otro stub, si lo quereis alguno, mandarme privado... aunque ya ves, 7... jaj
 #494538  por TITAN
 12 Feb 2019, 02:09
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
11 Feb 2019, 20:02
Pues con DsPlit y avfucker me borra todos todos los offsets... asi que imposible, eset si lo logre sacar, lo tengo en 7... pero el maldito avg y avast me estan dando la lata, mira que siempre suelen ser los primero en salir... creo que lo dejo asi.... no doy con manera, voy a buscarme otro stub, si lo quereis alguno, mandarme privado... aunque ya ves, 7... jaj
Si queres te doy una mano pasame un anotador encryptado.
 #494539  por kakarot88
 12 Feb 2019, 11:21
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
12 Feb 2019, 02:09
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
11 Feb 2019, 20:02
Pues con DsPlit y avfucker me borra todos todos los offsets... asi que imposible, eset si lo logre sacar, lo tengo en 7... pero el maldito avg y avast me estan dando la lata, mira que siempre suelen ser los primero en salir... creo que lo dejo asi.... no doy con manera, voy a buscarme otro stub, si lo quereis alguno, mandarme privado... aunque ya ves, 7... jaj
Si queres te doy una mano pasame un anotador encryptado.

Ok bro, te dejo enlace de la bolita (borrado para que no lo quemen) pero si lo consigues espero que me digas como!! jaj
Por cierto el anotador está limpio, no lo detecta ningún av.
 #494540  por kakarot88
 12 Feb 2019, 12:05
Otra pregunta, los stubs que no tienen nada de codigo vacío al final de stub por ejemplo, se le puede añadir?? hay algún programa donde podamos meter el stub y añadirle codigo vacio ??
 #494542  por TITAN
 12 Feb 2019, 19:06
Ya lo descargue después me pongo a modear y te explico si logro algo....borre el link para que ningúno tenga la mala idea de enviar una muestra a VT. Para agregar peso o bytes al fina podes usar algún editor hexadecimal, también esta el programa topo
 #494543  por kakarot88
 12 Feb 2019, 19:55
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
12 Feb 2019, 19:06
Ya lo descargue después me pongo a modear y te explico si logro algo....borre el link para que ningúno tenga la mala idea de enviar una muestra a VT. Para agregar peso o bytes al fina podes usar algún editor hexadecimal, también esta el programa topo
cierto el topo, lo recuerdo, ok gracias!

De todas maneras igual es porque es código ya muy viejo o algo no se, porque por ejemplo he bajado otro crypter, y bueno, con avfucker me borra toooodos los archivos no deja ni uno, uso dsplit y bien, pero cuando cojo el último archivo ya del dsplit para hacer el avfucker me borra todos igualmente... Me acabo de bajar VB6 y voy a ver si busco tutos y herramientas y creo uno.
 #494544  por TITAN
 12 Feb 2019, 22:28
Te borra todo porque hay una firma en la cabecera que se llama win32:evo- gen (susp) Cuando modeas tenes que mirar el reporte y trabajar solo con una firma a la vez en este caso primero tenes que atacar la firma win32: gen malicious-kkk (trj)
Para sacar la primera firma si no sale con combinaciones aleatorias en la cabecera vas a tener que cambiarle el icono agregarle peso balancear agregar secciones y modear hasta que salga.
 #494545  por kakarot88
 13 Feb 2019, 00:00
[ Debe registrarse para ver este enlace ] escribió: [ Debe registrarse para ver este enlace ]
12 Feb 2019, 22:28
Te borra todo porque hay una firma en la cabecera que se llama win32:evo- gen (susp) Cuando modeas tenes que mirar el reporte y trabajar solo con una firma a la vez en este caso primero tenes que atacar la firma win32: gen malicious-kkk (trj)
Para sacar la primera firma si no sale con combinaciones aleatorias en la cabecera vas a tener que cambiarle el icono agregarle peso balancear agregar secciones y modear hasta que salga.
Claro y miro el reporte, y así veo en que offset comienza la firma y a ese le hago el avfucker pero... borra todo. Tendré que probar las maneras que dices, que no he hecho nunca, asi que toca investigar.
 #494548  por kakarot88
 14 Feb 2019, 00:11
@TITAN, estoy intentando escribir un crypter, tengo algunas dudas, si tienes un hueco y no te importa, me gustaría hablar contigo.

Te dejo el correo: editado

Un saludo.