Indetectables

Bien, he dejado un crypter a 2 av, he buscado la firma del avira, la encuentro, la modifico del stub y consigo que el stub sea indetectado, pero cuando encrypto pues el avira resurge, y la pregunta es, ¿Que hago para que sea indetectado el archivo final?

La firma la tienes que buscar en el server o en el archivo encryptado, ya que tengas la firma detectada primero la modificas en el server o archivo encryptado y si se ejecuta despues modificas la firma en el stub. Te remociendo que siempre encryptes en archivo, ejemplo: NOTEPAD y en el busques las firmas y despues la modificas en el stub esto es para evitar problemas como el que tienes.

Espero que te ayude.

Saludos compañero

precisamente eso es lo que hago, con el notepad las busco, después las modifico del stub, pruebo a ver y otra vez p*** avira

luis avira dejalo es muy dificil de sacar se necesitan metodos especiales

LuisN2 aveces al modificar un offset para indetectar un stub a un av te salta otra firma porque al modifacar el offset por asi decirlo activas otra firma lo que te recomiendo es que modifiques otro offset que este a una distancia considerable del offset que modificas para que no te salte otra firma.


Saludos compañero

probaré a ver, por cierto, si lo consigo lo publico y os lo daré fud
Porque cuando hago algo lo hago bien, auque soy nuevo, aprendo rápido
asi me va:
File Info

Report generated: 6.9.2009 at 18.16.28 (GMT 1)
Filename: Final2Buscar.exe
File size: 178 KB
MD5 Hash: 27fcf0a2a9a25273650669a72cafe81d
SHA1 Hash: 205663DA3EEC41AE7B40BE16451AF37636DEF24B
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 2 on 22

Detections

a-squared - -
Avira AntiVir - TR/Dropper.Gen
Avast - -
AVG - BackDoor.Generic11.AMYP
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -

Scan report generated by
[Enlace externo eliminado para invitados]

a avira prueba cambiandole el icono !!! xD saludos


y avg normalmente se ubica en el user32

Muchas veces el antivirus detecta distintas cosas aun cuando sean encriptadas por el mismo programa. Puedes tener un crypter totalmente fud y cuando encriptas el poison o otro aparecen varios avs. Nisiquiera probando con el bloq de notas es lo mismo, por lo que debes de realizar tus pruebas con el poison o el troyano que uses encirptado. Es más tardado y te debes de infectar varias veces.. pero a veces no hay alternativa.

no me funciona, aver si lo que hago está bien:
cambio el icono al stub, hago un poco de hex, encripto el notepad, busco las firmas, la encuentro y modifico esa firma y otros números que están a los lados y que veo que no se lo cargan, entonces pruebo el stub y j****, vuelve a aparecer. He probado hacer el tutorial de demonio666vip, bueno el no, los tutoriales, los dos y la firma vuelve a aparecer, que hago??

LuisN2 los metodos que utilizo demonio666vip en sus videotutoriales casi estan obsoletos solo funsionan en algunos casos.

entonces...Que hago si esos tutoriales no sirven? ponerme a modificar en hex hasta que funcione y se quite o mover el ep?. porque a veces la firma se me queda en la cabezera? No quiero ser pesado, solo quiero aprender.

Si quieres aprender tienes que leer en el foro abundan de estas preguntas .