Hola amigos, estoy intentando sacar firmas con el signaturezero y me da a mi que el windows defender se cachondea de mi, encuentro la firma la modifico reinicio y vuelve a ser detectado cuando antes de reiniciar no lo era, y luego marca la firma en otro sitio, que pasa que las mueve?🤔
Preguntas
  • A cuantos Bytes lo haces?
  • -Usas el signature de hace 12 años? o una tool actualizada?
  • Cual S.O estas utilizando?
Respuestas según tu respuesta.
  • Muchas veces loa antivirus ponen varias firmas en varios bytes u Offsets. También puede que cuando quites una salte otra, eso también pasa modificando en el código, tienes que ir jugando asta dar con la conbinacion buena y lo elimines y sacar en rangos de 1000byte asta 1 byte.
  • Si es la herramienta antigua que era blanca (Creo recordar) hay Tools (Offset locator) de indetectables, udtool y foromalware que están publicadas y van mucho mejor que esa antigua. Fallan menos.
  • -Si utilizas Windows 7 para hacer la modificación debes tener cuidado con el cache. Los moders siempre tuvimos un problema con el cache y modificar, llegaba un punto que no sabias que modificabas o que habías modificado porque al quedarse cacheado las modificaciones o no se hacen o se hacen cuando cambias el nombre del archivo o de los offest dentro de la carpeta de trabajo. Entonces puede que te estés creando confusiones.
Revisa esos puntos, yo me decanto que tu problema es que tienes multifirma y te volverás un poco loco. Constancia y disciplina.
 
Hola te agradezco la ayuda, lo hago desde windows 10 dentro de VMware Workstation 16 Player, y si uso el signaturezero antiguo que es con el que me apañaba hace años, la verdad esque hacia años que no buscaba firmas y he desempolvado antiguas herramientas, tengo tambien por ahi el UdTools Offset Locator 1.0, y el Indetectables Offset Locator 2.6, lo que me a pasado es que he ido acorralando una firma por ejemplo desde 1124-1175, esos offsets tapados con 00 no es detectado, pero al reiniciar el pc resulta que los detecta y los borra, y luego parece que tape lo que tape lo detecta como si todo el archivo fuese una firma o como si la firma se fuese moviendo, como si el antivirus se burlara de mi jajaaj😩
Y pensá que usar los antivirus de esa forma para saltarlos es una técnica que tiene mas de 10 años, ya de decía hace varios años que algunas empresas estaban agregando mitigaciones para dificultar que se usen los motores para hacer eso.
No me extrañaría que hoy en día prácticamente todos tengan ese tipo de mitigaciones o por lo menos los principales vendors.

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
@riles
cuando tapas con signature un rango de offsets y no te lo detecta quiere decir que la firma esta ahí. Luego tienes que hacer AvFucker en ese rango que marcaste con anterioridad. es decir :

1124-1175 Aquí no detecta
si tu tapas todos esos Bytes de 00 o 44 o 90 o lo que te de la gana dejaras el stub o el encriptado inservible.  Tienes que hacer Avfucker en ese rango  1124-1175  en 1 Byte, comprobar cuales quedaron funcionales e indetectables y modificarlos. Cuando los rangos son mas grandes ejemplo:

1000 - 5000 Queda indetectable, pues haces Avfucker en:
1000: comprobar
100 : comprobar
50: comprobar
etc etc asta buscar todos los indetectable y funcionales. Si mal no recuerdo era algo así XD

Lo que dice DSR!. Si vas hacer una modificación asi tienes que instalar el AV y desconectarle el internet porque sino lo que hagas va a ser en vano y parte que muchos antivirus tienen anti-modding, bueno ya hace años, asi que todo se complica mas. paciencia y disciplina. XD
 
Responder

Volver a “Troyanos y Herramientas”