Indetectables

Hola, pues nunca habia usado el avfucker, y hoy para sacar el a-squared me puse a usarlo, primero saque una firma con el AAV tols, ya que tenia dos, y pensaba sacar con el avfucker la otra, pero cuando termino y escaneo la carpeta con los archivos modificados a 1 byte, me deja muchos, unos 233 ,y no se que hacer ahora para saber donde esta la firma para modificarla.
Salu2!!

Escanealo la carpeta con un antivirus actualizado
te saldran los que estan infectados, y los que no, los borras
y desde hay se lo vas sacando

GhoStHa escribió:Escanealo la carpeta con un antivirus actualizado
te saldran los que estan infectados, y los que no, los borras
y desde hay se lo vas sacando

No te entiendo, el Av borro los infectados, pero los que no detecta, ¿Como los uso para sacar las firmas?
Salu2!

Buenas, mira el video de sharki el del metodo hex ay puedes ver como se usa el AVFucker, Igual se puede acer rit, si quieres hacer rit mira el video del metodo rit de anubbis.

Aca te dejo el video del metodo hex de sharki.

[Enlace externo eliminado para invitados]

Slu2!.

.:J.V-B:. escribió:Buenas, mira el video de sharki el del metodo hex ay puedes ver como se usa el AVFucker, Igual se puede acer rit, si quieres hacer rit mira el video del metodo rit de anubbis.

Aca te dejo el video del metodo hex de sharki.

[Enlace externo eliminado para invitados]

Slu2!.

Muchas gracias!
Ya lo hice y salio bien :)
El AvFucker esta bien para cuando solo hay una firma, si hay mas no vale, yo en mi caso tape una y la otra la busque con AvFucker.
Salu2! Y gracias

Hola...

Primero debemos saber como funciona el avfucker..Explico rapidito, con un ejemplo..
Cuando escaneamos, con 1 byte, significa que el avfucker, va a colocar "00" cada un offset...
si la firma fuese: 454F FFFF C475
004F FFFF C475 archivo 1
4500 FFFF C475 archivo 2
454F 00FF C475 archivo 3
454F FF00 C475 archivo 4

Lo escaneamos y quedan 2, el archivo 3 y el 4 ...(con el nombre del numero de offset y despues la cantidad de bytes elegidas, por ejemplo: 5700-1.exe y 5701-1.exe)
Esto quiere decir que si modificamos la firma 5700 o la 5701, el Av no lo ve mas....
Obviamente, deben poner, no un valor cualquiera, si no uno , que por prueba y error, lo deje funcional...

Espero haberme echo entender..

saludos


EDITO: uh no vi el SOLUCIONADO ...

wildbridge escribió:Hola...

Primero debemos saber como funciona el avfucker..Explico rapidito, con un ejemplo..
Cuando escaneamos, con 1 byte, significa que el avfucker, va a colocar "00" cada un offset...
si la firma fuese: 454F FFFF C475
004F FFFF C475 archivo 1
4500 FFFF C475 archivo 2
454F 00FF C475 archivo 3
454F FF00 C475 archivo 4

Lo escaneamos y quedan 2, el archivo 3 y el 4 ...(con el nombre del numero de offset y despues la cantidad de bytes elegidas, por ejemplo: 5700-1.exe y 5701-1.exe)
Esto quiere decir que si modificamos la firma 5700 o la 5701, el Av no lo ve mas....
Obviamente, deben poner, no un valor cualquiera, si no uno , que por prueba y error, lo deje funcional...

Espero haberme echo entender..

saludos


EDITO: uh no vi el SOLUCIONADO ...

muchas gracias de todas maneras, me ayudo a entenderlo mejor
Salu2!

wildbridge escribió:Hola...

Primero debemos saber como funciona el avfucker..Explico rapidito, con un ejemplo..
Cuando escaneamos, con 1 byte, significa que el avfucker, va a colocar "00" cada un offset...
si la firma fuese: 454F FFFF C475
004F FFFF C475 archivo 1
4500 FFFF C475 archivo 2
454F 00FF C475 archivo 3
454F FF00 C475 archivo 4

Lo escaneamos y quedan 2, el archivo 3 y el 4 ...(con el nombre del numero de offset y despues la cantidad de bytes elegidas, por ejemplo: 5700-1.exe y 5701-1.exe)
Esto quiere decir que si modificamos la firma 5700 o la 5701, el Av no lo ve mas....
Obviamente, deben poner, no un valor cualquiera, si no uno , que por prueba y error, lo deje funcional...

Espero haberme echo entender..

saludos


EDITO: uh no vi el SOLUCIONADO ...

Y con DSplit como es el funcionamiento, xq no es el mismo no es asi?
Yo he notado que como que cada vez pesan mas los ficheros que se generan y ademas aveces saltan firmas con DSplit que con el AVFucker no.
Gracias de ante mano.