A ver...

estoy haciendo esta mod

Imagen


Me quedan esos que con avfucker no me salen... el entrypoint esta movido, kernel32 cambiado y las tablas modificadas también... ajjjj, que me recomendáis?? además es que esos son los más comunes los que quedan, joder y a 8 me jodería darme por vencido...
Avg y avast comparten firma salen con dsplit y eset seguramente tiene muchísimas firmas sale con dsplit y signature fucker > creo que se llamaba así el método.
Imagino que usaste tambien olly dbg para modear menos avira el resto con dsplit y avfuker deberian salir. Si logras limpiar mas el stub después te digo algunos tips para sacar avira no es seguro que funcione pero puede que si. Igual no te ilusiones mucho cuando encryptes van a saltar bit defender y 4 o 5 mas. Revisa siempre que el anotador encryptado siga funcional porque si no vas a perder cantidad de tiempo al pedo. Suerte !
Pues con DsPlit y avfucker me borra todos todos los offsets... asi que imposible, eset si lo logre sacar, lo tengo en 7... pero el maldito avg y avast me estan dando la lata, mira que siempre suelen ser los primero en salir... creo que lo dejo asi.... no doy con manera, voy a buscarme otro stub, si lo quereis alguno, mandarme privado... aunque ya ves, 7... jaj
2lokuas255 te contesto por aqui porque no me deja enviar privados, la pag de analisis es esta [Enlace externo eliminado para invitados] y gracias por tus recomendaciones, le echo un ojo.
kakarot88 escribió: 11 Feb 2019, 20:02 Pues con DsPlit y avfucker me borra todos todos los offsets... asi que imposible, eset si lo logre sacar, lo tengo en 7... pero el maldito avg y avast me estan dando la lata, mira que siempre suelen ser los primero en salir... creo que lo dejo asi.... no doy con manera, voy a buscarme otro stub, si lo quereis alguno, mandarme privado... aunque ya ves, 7... jaj
Si queres te doy una mano pasame un anotador encryptado.
TITAN escribió: 12 Feb 2019, 02:09
kakarot88 escribió: 11 Feb 2019, 20:02 Pues con DsPlit y avfucker me borra todos todos los offsets... asi que imposible, eset si lo logre sacar, lo tengo en 7... pero el maldito avg y avast me estan dando la lata, mira que siempre suelen ser los primero en salir... creo que lo dejo asi.... no doy con manera, voy a buscarme otro stub, si lo quereis alguno, mandarme privado... aunque ya ves, 7... jaj
Si queres te doy una mano pasame un anotador encryptado.

Ok bro, te dejo enlace de la bolita (borrado para que no lo quemen) pero si lo consigues espero que me digas como!! jaj
Por cierto el anotador está limpio, no lo detecta ningún av.
Otra pregunta, los stubs que no tienen nada de codigo vacío al final de stub por ejemplo, se le puede añadir?? hay algún programa donde podamos meter el stub y añadirle codigo vacio ??
Ya lo descargue después me pongo a modear y te explico si logro algo....borre el link para que ningúno tenga la mala idea de enviar una muestra a VT. Para agregar peso o bytes al fina podes usar algún editor hexadecimal, también esta el programa topo
TITAN escribió: 12 Feb 2019, 19:06 Ya lo descargue después me pongo a modear y te explico si logro algo....borre el link para que ningúno tenga la mala idea de enviar una muestra a VT. Para agregar peso o bytes al fina podes usar algún editor hexadecimal, también esta el programa topo
cierto el topo, lo recuerdo, ok gracias!

De todas maneras igual es porque es código ya muy viejo o algo no se, porque por ejemplo he bajado otro crypter, y bueno, con avfucker me borra toooodos los archivos no deja ni uno, uso dsplit y bien, pero cuando cojo el último archivo ya del dsplit para hacer el avfucker me borra todos igualmente... Me acabo de bajar VB6 y voy a ver si busco tutos y herramientas y creo uno.
Te borra todo porque hay una firma en la cabecera que se llama win32:evo- gen (susp) Cuando modeas tenes que mirar el reporte y trabajar solo con una firma a la vez en este caso primero tenes que atacar la firma win32: gen malicious-kkk (trj)
Para sacar la primera firma si no sale con combinaciones aleatorias en la cabecera vas a tener que cambiarle el icono agregarle peso balancear agregar secciones y modear hasta que salga.
TITAN escribió: 12 Feb 2019, 22:28 Te borra todo porque hay una firma en la cabecera que se llama win32:evo- gen (susp) Cuando modeas tenes que mirar el reporte y trabajar solo con una firma a la vez en este caso primero tenes que atacar la firma win32: gen malicious-kkk (trj)
Para sacar la primera firma si no sale con combinaciones aleatorias en la cabecera vas a tener que cambiarle el icono agregarle peso balancear agregar secciones y modear hasta que salga.
Claro y miro el reporte, y así veo en que offset comienza la firma y a ese le hago el avfucker pero... borra todo. Tendré que probar las maneras que dices, que no he hecho nunca, asi que toca investigar.
@TITAN, estoy intentando escribir un crypter, tengo algunas dudas, si tienes un hueco y no te importa, me gustaría hablar contigo.

Te dejo el correo: editado

Un saludo.
Responder

Volver a “Dudas y Preguntas”