Muchas gracias m4rtyr pero no me ha funcionado ese código. Supongo que mov eax,401000 debe ser el entrypoint no? y debajo de Jnz debe de haber un jmp al entry original? porque yo lo he puesto y me da error. (y si no lo pongo también)

También eh probado la forma más simple de xor:

MOV EAX,0040198C
XOR BYTE PTR DS:[EAX],0E
JMP 004013E4

Y aunque no lo rompe, no burla al nod32.
el de 401000 solo es un ejemplo
y debajo de Jnz debe de haber un jmp al entry original
eso es si usted ha cambiado el entrypoint al codigo del Xor , y esto es muy detectado

bueno si quieres el codigo en tu caso es
mov eax,0040198C
mov ecx,0E (esto es los numeros de bytes de CreateProccessA en hex, son 15 bytes en hex son 0E)
xor byte ptr ds:[eax],11
inc eax
dec ecx
Jnz la direccion de byte ptr ds:[eax],11 ( por ejemplo si el xor byte ptr ds:[eax],11 esta en 405000 entonces Jnz 405000)
Jmp entrypoint

porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta
saludos

Mostrar/Ocultar

De nuevo muchas gracias por tu respuesta.
el de 401000 solo es un ejemplo
Si yo sé, mi pregunta es si se debía mover el entrypoint a esa funcion especifica del xor.
porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta
Tu código no es detectado (como si lo es el que yo puse) pero tampoco me esta funcionando, no se que hago mal pero te lo paso por mp.
lord.of.da.flies escribió:mmm bueno se puso dificil.

En el tuto ponen el kernel32.dll... a mi no me sale ninguna api de ese, si no todas de msvbvm60.dll.. peroooo la detectada me aparece asi:
Imagen

¿es de msvbvm60.dll o de kernel32?

Y lo de las funciones... pues solo hay de msvbvm60:
Imagen


En estos casos..... ¿Qué se hace? Muchas gracias, saludos.
A mi me pasa exactamente igual... que se pude hacer en este caso?

Imagen
a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).

esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).

saludos
//No estan permitidos los refer en este sitio.

SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
bloodday escribió:a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).

esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).

saludos

ja ja ja ja.... ganaste la apuesta!!!!... disculpa que te moleste, pero tu podrias explicarme de manera personal como hacer un xor alli?
brot leos_79 ,esta de mas de buen aporte , havia escuchado esa teoria , pero de verda te la comiste con eeste aporte
:D
http://www.ShadeHack.com/
Encontraras herramientas ! las que necesita
Imagen
bloodday escribió:a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).

esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).

saludos

definitivamente me corto las venas con esta firma del nod32, le aplique el xor en todos los offset y se rompe... y esta solo aqui de principio a fin "RtlMoveMemory"....

alguien puede darme una help?
nosee21 escribió:no se por que este tema aun esta fejada aunque no sirve para nada
"no sirve para nada"? el hecho de que a ti, no te sirva para nada (pasar un AV), no quiere decir que todos hagamos cosas inproductivas.
Saludos
No hay éxito como el fracaso, pero el fracaso no es ningun éxito...
Algien sabe como cargar "LoadL.." y "GetProcc..." en un stub paar realizar el metodo correctamente?

Esto se puede hacer con importacione de "msvbmv60.dll"?

Saludos!
obey escribió:Pues si tuviese mas edad todavia pero esqe perder la virginidad con tu profesora de informatica y que ademas tenga 50....
leos_79 escribió:
nosee21 escribió:no se por que este tema aun esta fejada aunque no sirve para nada
"no sirve para nada"? el hecho de que a ti, no te sirva para nada (pasar un AV), no quiere decir que todos hagamos cosas inproductivas.
Saludos
no te preocupes amigo no paso nada se sirve? pues se sirve Aunque lo intentó varias veces, y varios programas de utilizar esta función Writeprocessmemory y otras funciones pero siguen detectados por AVs
Responder

Volver a “Manuales y Tutoriales”