Muy buenas, 
hay una cosa que no acabo de entender con los crypters y los anotadores....

Entiendo que con el anotador lo que buscas es sacar las firmas de X AV, pero una vez tienes las firmas que quieres como haces para pasar esas firmas al troyano? tienes que repetir todo el proceso o hay alguna manera de pasarle todo el trabajo hasta haber sacado la firma de una?

Salu2.
Es que como pusiste en el titulo esa metodología es para crypters.
El anotador es un binario de muy bajo peso (si esta hecho en asm pesa unos pocos k) y cuando tenes el binario encriptado modificado pasas los cambios con un differ o simplemente borrando el encriptado ya que hay veces que se agregan como recurso y pasarlos es muy fácil hacer eso.
Básicamente lo que haces indetectable es el loader que carga el malware y no el malware en si... y eso lo haces con mas malware 🤣

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
  1.  Encryptar anotador.
  2.  Av-Fcuker
  3. Scanear con el Antivirus todos los Offset's generados.
  4.  Ejecutar todos los Offset's y anotar funcionales e indetectables.
  5.  Ir al Stub original y remplazar los Offsets por (Hexadecimalmente) 90, 44 = Nop...
  6.  El stub original quedara Indetectable y el encryptado modificado se elimina.

Ahora hacer eso es inútil porque la importancia del malware hoy día son otros patrones como el comportamiento ejecución etc etc.  De nada sirve pasar por delante de una discoteca si cuando vas a entrar no te dejan.
A todo esto cuando el R.A.T se desencrypta y se carga será detectado.
 
xxxPoseidonxxx escribió: 14 Dic 2021, 22:55
De nada sirve pasar por delante de una discoteca si cuando vas a entrar no te dejan.
Para poder entrar tenes que hacerte pasar por un empleado o un dueño de la disco...... es decir ponerte otra ropa, moverte de forma diferente, entra con otra persona. Tenes que pasar desapercibido como si fueras parte de ese ámbito. Algo así seria.  Hoy en día es imposible ponerte una gorra y creer que no te van a reconocer. Ni hablar si tenes antecedentes policiales jajaja

La disco seria el SO, la gorra o disfraz seria el crypter, el amigo seria el joiner y la forma en que actúas seria la ejecución en memoria inyección recursos dlls etc. Los antecedentes policiales es la reputación del archivo/ servidor a ejecutar 😎
TITAN escribió: 15 Dic 2021, 19:07
xxxPoseidonxxx escribió: 14 Dic 2021, 22:55
De nada sirve pasar por delante de una discoteca si cuando vas a entrar no te dejan.
Para poder entrar tenes que hacerte pasar por un empleado o un dueño de la disco...... es decir ponerte otra ropa, moverte de forma diferente, entra con otra persona. Tenes que pasar desapercibido como si fueras parte de ese ámbito. Algo así seria.  Hoy en día es imposible ponerte una gorra y creer que no te van a reconocer. Ni hablar si tenes antecedentes policiales jajaja

La disco seria el SO, la gorra o disfraz seria el crypter, el amigo seria el joiner y la forma en que actúas seria la ejecución en memoria inyección recursos dlls etc. Los antecedentes policiales es la reputación del archivo/ servidor a ejecutar 😎
jajajajajajaja
Y ahí tienes otro ejemplo amigo. Esperemos que no venga el dueño de la discoteca a dar otra explicación  jajaja
Responder

Volver a “Dudas y Preguntas”