Buenas tardes Gente estaba un poco aburrido así que se me ocurrió hacer
un tutorial sobre modding muy básico para los que empiezan desde 0 así
que expertos abstenerse porque les parecerá muy tonto. Les dejo el
crypter del ejemplo asi pueden comparar los resultados seria bueno que
todos los que quieran hacer el curso modeen el mismo así mientras vamos
avanzando en el tutorial si surge una duda se las respondería con mayor
facilidad
Si les Surgen dudas posteenlas en este misma post para que a todos aquellos que le surge la misma duda ya tendrá la respuesta
Introducción:
El Software antivirus usa dos métodos para proteger Nuestra PC: 1 - Analizar los archivos comparándolos con la base de datos de software maligno (Firmas) seria como una rueda de reconocimiento policial o cuando se intenta identificar a un delincuente con una foto: El antivirus compara cada archivo del disco duro con un “diccionario” de virus conocidos . Si cualquier pieza de código (firmas) en un archivo del disco duro coincide con el virus conocido en el diccionario, el software antivirus entra en acción y 2 la monitorización constante del comportamiento de archivos que pueden estar infectados.
Por ej
Viéndolo desde Binario supongamos que para Avast este código es una firma de virus "12 55 40 05" cuando analize el binario y encuentre esto:
Automáticamente Saltara como virus
Método Av Fucker
Con este método buscaremos la firma y cambiaremos su código para que Avast o cualquier antivirus ya no la reconozca
Código detectado como virus
Código modificado indectado
Es simple verdad? el tema es que cuando modifiquemos uno de esos números (offset) tiene que quedar funcional
Vamos a verlo Paso por paso
Paso 1 herramientas
Indetectables offset locator 2.6 (es que yo utilizo pero puede ser cualquier locator)
Hex Workshop
Este Crypter: http://foro.udtools.net/showthread.p...ck-28-Crypters (JuJu V2) asi modeamos todos el mismo
Yo use esta bolita: http://foro.udtools.net/showthread.p...ghlight=bolita
Paso 2
Agarramos el crypter y encryptamos una bolita
Paso 3
Abrimos en offset locator y en "archivo" elegimos la bolita y en "directorio" la carpeta donde vamos a crear los offsets (Creen una carpeta nueva y llamenla offsets) en bytes inicial ponemos "100" y en rellenar el numero "90"
Tendria que quedarles mas o menos ASi
Le damos iniciar y esperamos q termine de crear los offset.... Cuando termine escaneamos la carpeta offset con Avast y borramos los detectados
Paso 4
Vamos a Mostrar offset
y hacemos doble click en rango que aparece 2370 - 2410
ahora el locator nos quedara así
Borramos todos los archivos de la carpeta offsets y le damos nuevamente a iniciar luego escaneamos con Avast la carpetas offsets borramos los detectados y nos quedarian estos offsets
Le damos click a mostrar offsets nuevamente
Y elegimos el rango 2370 - 2410
el locator les quedara así:
Borramos los archivos de la carpera offset y de damos a iniciar nuevamente... escaneamos con avast... borramos los detectados
y nos quedan estos offsets
Cuando ya estamos a 1 byte
debemos probar cual funciona...
Abrimos el primero 2380
Y... Perfecto funciona
Como sabemos si funciona? si tiene que abrir la bolita que encryptamos...
Paso 5
Abrimos el hex workshop
Abrimos el stub
Boton derecho
Goto
offset
y Ponemos el que era funcional 2380
Cambiamos el numero que figura en ese offset por el numero que pusimos en "rellenar con"
Y guardamos File Save as...
Stub modificado.exe
Scaneamos el stub y....
Bueno esto es de lo mas básico si tiene dudas pregunten... que en unos días avanzamos...
Saludos
Si les Surgen dudas posteenlas en este misma post para que a todos aquellos que le surge la misma duda ya tendrá la respuesta
Introducción:
El Software antivirus usa dos métodos para proteger Nuestra PC: 1 - Analizar los archivos comparándolos con la base de datos de software maligno (Firmas) seria como una rueda de reconocimiento policial o cuando se intenta identificar a un delincuente con una foto: El antivirus compara cada archivo del disco duro con un “diccionario” de virus conocidos . Si cualquier pieza de código (firmas) en un archivo del disco duro coincide con el virus conocido en el diccionario, el software antivirus entra en acción y 2 la monitorización constante del comportamiento de archivos que pueden estar infectados.
Por ej
Viéndolo desde Binario supongamos que para Avast este código es una firma de virus "12 55 40 05" cuando analize el binario y encuentre esto:
Automáticamente Saltara como virus
Método Av Fucker
Con este método buscaremos la firma y cambiaremos su código para que Avast o cualquier antivirus ya no la reconozca
Código detectado como virus
Código modificado indectado
Es simple verdad? el tema es que cuando modifiquemos uno de esos números (offset) tiene que quedar funcional
Vamos a verlo Paso por paso
Paso 1 herramientas
Indetectables offset locator 2.6 (es que yo utilizo pero puede ser cualquier locator)
Hex Workshop
Este Crypter: http://foro.udtools.net/showthread.p...ck-28-Crypters (JuJu V2) asi modeamos todos el mismo
Yo use esta bolita: http://foro.udtools.net/showthread.p...ghlight=bolita
Paso 2
Agarramos el crypter y encryptamos una bolita
Paso 3
Abrimos en offset locator y en "archivo" elegimos la bolita y en "directorio" la carpeta donde vamos a crear los offsets (Creen una carpeta nueva y llamenla offsets) en bytes inicial ponemos "100" y en rellenar el numero "90"
Tendria que quedarles mas o menos ASi
Le damos iniciar y esperamos q termine de crear los offset.... Cuando termine escaneamos la carpeta offset con Avast y borramos los detectados
Paso 4
Vamos a Mostrar offset
y hacemos doble click en rango que aparece 2370 - 2410
ahora el locator nos quedara así
Borramos todos los archivos de la carpeta offsets y le damos nuevamente a iniciar luego escaneamos con Avast la carpetas offsets borramos los detectados y nos quedarian estos offsets
Le damos click a mostrar offsets nuevamente
Y elegimos el rango 2370 - 2410
el locator les quedara así:
Borramos los archivos de la carpera offset y de damos a iniciar nuevamente... escaneamos con avast... borramos los detectados
y nos quedan estos offsets
Cuando ya estamos a 1 byte
debemos probar cual funciona...
Abrimos el primero 2380
Y... Perfecto funciona
Como sabemos si funciona? si tiene que abrir la bolita que encryptamos...
Paso 5
Abrimos el hex workshop
Abrimos el stub
Boton derecho
Goto
offset
y Ponemos el que era funcional 2380
Cambiamos el numero que figura en ese offset por el numero que pusimos en "rellenar con"
Y guardamos File Save as...
Stub modificado.exe
Scaneamos el stub y....
Bueno esto es de lo mas básico si tiene dudas pregunten... que en unos días avanzamos...
Saludos
+ comentarios + 1 comentarios
Hola tengo una duda al respecto... Al modificar el stub y encriptar el troyano le doy a examinar con el antivirus y no me lo detecta pero al ejecutar el troyano me lo detecta el antivirus. ¿Como puedo hacer para que al ejecutarlo no me lo detecte? ¿Y porqué me lo detecta al ejecutarlo?
Publicar un comentario