Muchas gracias m4rtyr pero no me ha funcionado ese código. Supongo que mov eax,401000 debe ser el entrypoint no? y debajo de Jnz debe de haber un jmp al entry original? porque yo lo he puesto y me da error. (y si no lo pongo también)
También eh probado la forma más simple de xor:
MOV EAX,0040198C
XOR BYTE PTR DS:[EAX],0E
JMP 004013E4
Y aunque no lo rompe, no burla al nod32.
el de 401000 solo es un ejemplo
bueno si quieres el codigo en tu caso es
mov eax,0040198C
mov ecx,0E (esto es los numeros de bytes de CreateProccessA en hex, son 15 bytes en hex son 0E)
xor byte ptr ds:[eax],11
inc eax
dec ecx
Jnz la direccion de byte ptr ds:[eax],11 ( por ejemplo si el xor byte ptr ds:[eax],11 esta en 405000 entonces Jnz 405000)
Jmp entrypoint
porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta
saludos
eso es si usted ha cambiado el entrypoint al codigo del Xor , y esto es muy detectadoy debajo de Jnz debe de haber un jmp al entry original
bueno si quieres el codigo en tu caso es
mov eax,0040198C
mov ecx,0E (esto es los numeros de bytes de CreateProccessA en hex, son 15 bytes en hex son 0E)
xor byte ptr ds:[eax],11
inc eax
dec ecx
Jnz la direccion de byte ptr ds:[eax],11 ( por ejemplo si el xor byte ptr ds:[eax],11 esta en 405000 entonces Jnz 405000)
Jmp entrypoint
porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta
saludos
De nuevo muchas gracias por tu respuesta.
Si yo sé, mi pregunta es si se debía mover el entrypoint a esa funcion especifica del xor.el de 401000 solo es un ejemplo
Tu código no es detectado (como si lo es el que yo puse) pero tampoco me esta funcionando, no se que hago mal pero te lo paso por mp.porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta
¿Hay alguna manera de aplicar este método con las apis de msvbmv60.dll?? Muchas gracias.
Arregladas las imagenes :)
No hay éxito como el fracaso, pero el fracaso no es ningun éxito...
A mi me pasa exactamente igual... que se pude hacer en este caso?lord.of.da.flies escribió:mmm bueno se puso dificil.
En el tuto ponen el kernel32.dll... a mi no me sale ninguna api de ese, si no todas de msvbvm60.dll.. peroooo la detectada me aparece asi:
¿es de msvbvm60.dll o de kernel32?
Y lo de las funciones... pues solo hay de msvbvm60:
En estos casos..... ¿Qué se hace? Muchas gracias, saludos.
a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).
esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).
saludos
esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).
saludos
//No estan permitidos los refer en este sitio.
SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
bloodday escribió:a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).
esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).
saludos
ja ja ja ja.... ganaste la apuesta!!!!... disculpa que te moleste, pero tu podrias explicarme de manera personal como hacer un xor alli?
brot leos_79 ,esta de mas de buen aporte , havia escuchado esa teoria , pero de verda te la comiste con eeste aporte
:D
:D
http://www.ShadeHack.com/
Encontraras herramientas ! las que necesita
Encontraras herramientas ! las que necesita
bloodday escribió:a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).
esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).
saludos
definitivamente me corto las venas con esta firma del nod32, le aplique el xor en todos los offset y se rompe... y esta solo aqui de principio a fin "RtlMoveMemory"....
alguien puede darme una help?
Yo creía que el Nod 32 ponía su firma allí. Pero no. La pone en Set thread y Get thread. No creo que el Avira la ponga en rtlmovemory.
no se por que este tema aun esta fejada aunque no sirve para nada
"no sirve para nada"? el hecho de que a ti, no te sirva para nada (pasar un AV), no quiere decir que todos hagamos cosas inproductivas.nosee21 escribió:no se por que este tema aun esta fejada aunque no sirve para nada
Saludos
No hay éxito como el fracaso, pero el fracaso no es ningun éxito...
Algien sabe como cargar "LoadL.." y "GetProcc..." en un stub paar realizar el metodo correctamente?
Esto se puede hacer con importacione de "msvbmv60.dll"?
Saludos!
Esto se puede hacer con importacione de "msvbmv60.dll"?
Saludos!
obey escribió:Pues si tuviese mas edad todavia pero esqe perder la virginidad con tu profesora de informatica y que ademas tenga 50....
no te preocupes amigo no paso nada se sirve? pues se sirve Aunque lo intentó varias veces, y varios programas de utilizar esta función Writeprocessmemory y otras funciones pero siguen detectados por AVsleos_79 escribió:"no sirve para nada"? el hecho de que a ti, no te sirva para nada (pasar un AV), no quiere decir que todos hagamos cosas inproductivas.nosee21 escribió:no se por que este tema aun esta fejada aunque no sirve para nada
Saludos