Os voy a hablar de esta manera que se me ocurrió hace ya mucho tiempo
para las firmas de Nod32, más concretamente para esas firmas múltiples
que a veces hay, de 6, 7 firmas… con esto destripamos completamente las
firmas y las vamos quitando, de manera que aunque el archivo final quede
con la misma firma (poco probable), dará muchísimas más opciones para
modear.
El porqué del nombre ‘SignatureFucker’ tiene su explicación lógica, como todos o al menos los que entienden AVFucker sabréis, AVFucker no es más que partes de archivo rellenadas con lo que digamos, al igual que SignatureZero…
Primero, escaneamos y vemos la firma del archivo original:
Como SignatureZero es muy lento para este tipo de firmas múltiples, hacemos esto:
En mi caso uso el Locator de Mingo 2.0, ya que me parece una maravilla la velocidad con la que se trabaja con él. Pues bien, primeramente lo de siempre, AvFucker a 1000 bytes.
OK, ahora procedemos a ver las detecciones:
Como podeis ver, se aprecian distintas firmas dependiendo de qué tapemos.
Bien, entonces qué hacemos? Escogemos uno de los archivos AvFuckeados con firma diferente y le pasamos nuevamente AvFucker (a dicho archivo). Si con 1000 bytes todos indican la misma firma, podeis probar con 100, algo se notará (esto si estamos seguros de que hay más firmas “ocultas”).. si no se nota es porque solo tendría 2 firmas.
En este caso vamos a pasar por AvFucker ese 5000_1000.exe y vemos qué pasa con las detecciones..
Como veis en la imagen, nos deja 2 tristes offsets sin detectar, y FIJO que ninguna es funcional, entonces miramos de nuevo las detecciones y la que salga con firma diferente hacemos lo mismo, pasamos por AvFucker ese archivo con esa firma, en mi caso con ese 14000_1000.exe (repito que puede ser otra offset, pero debe ser con firma diferente al anterior archivo ‘AvFuckeado’):
Vemos que aquí la cosa empieza a florecer, ya no son 2 offsets (rellenadas de 1000 Bytes) las que no nos detecta, sino que hay más..
Ok, seguimos con el mismo archivo y escaneamos a 100, 10 y 1 Byte, anotamos las offsets de 1 byte que no detectó Nod32 y que por tanto eliminaría esa firma última.
Ya teniendo las que no detecta a 1 byte, procedemos a modificarlas al stub original con AvFucker, en mi manera de hacer, dejo en una carpeta (Offsets1) las indetectadas de 1 byte del archivo roto que hemos pasado por AvFucker varias veces y otra carpeta (Offsets2) para guardar las offsets a 1 byte del archivo funcional.
Testeamos lo que quede funcional.
Pretendo daros la idea así que no terminaré de indetectarlo, espero que lo entendáis!
Esta forma tiene muchísimas variantes, dependerá de vuestro uso de razón el aplicarlo de una manera u otra, lo que sí garantizo, es que con esto podeis decir adiós al Nod32 con toda seguridad, también es aplicable a Avira, pero este último tiene un modus operandi diferente al de Nod32 a la hora de colocar nuevas firmas.
Nota:
El proceso es largo hasta que vayáis cogiéndole el truco y vayáis aprendiendo qué toca cada firma, luego ya le pegareis vuestro toque personal. También va orientado a no tocar con otra cosa que no sea el mismo Locator, aunque podeis usarlo para localizar firmas y luego usar OllyDbg.
Es todo, espero sea de vuestra gratitud.
PDF -> http://www.mediafire.com/?pue2j64dt1zt741
El porqué del nombre ‘SignatureFucker’ tiene su explicación lógica, como todos o al menos los que entienden AVFucker sabréis, AVFucker no es más que partes de archivo rellenadas con lo que digamos, al igual que SignatureZero…
Primero, escaneamos y vemos la firma del archivo original:
Como SignatureZero es muy lento para este tipo de firmas múltiples, hacemos esto:
En mi caso uso el Locator de Mingo 2.0, ya que me parece una maravilla la velocidad con la que se trabaja con él. Pues bien, primeramente lo de siempre, AvFucker a 1000 bytes.
OK, ahora procedemos a ver las detecciones:
Como podeis ver, se aprecian distintas firmas dependiendo de qué tapemos.
Bien, entonces qué hacemos? Escogemos uno de los archivos AvFuckeados con firma diferente y le pasamos nuevamente AvFucker (a dicho archivo). Si con 1000 bytes todos indican la misma firma, podeis probar con 100, algo se notará (esto si estamos seguros de que hay más firmas “ocultas”).. si no se nota es porque solo tendría 2 firmas.
En este caso vamos a pasar por AvFucker ese 5000_1000.exe y vemos qué pasa con las detecciones..
Como veis en la imagen, nos deja 2 tristes offsets sin detectar, y FIJO que ninguna es funcional, entonces miramos de nuevo las detecciones y la que salga con firma diferente hacemos lo mismo, pasamos por AvFucker ese archivo con esa firma, en mi caso con ese 14000_1000.exe (repito que puede ser otra offset, pero debe ser con firma diferente al anterior archivo ‘AvFuckeado’):
Vemos que aquí la cosa empieza a florecer, ya no son 2 offsets (rellenadas de 1000 Bytes) las que no nos detecta, sino que hay más..
Ok, seguimos con el mismo archivo y escaneamos a 100, 10 y 1 Byte, anotamos las offsets de 1 byte que no detectó Nod32 y que por tanto eliminaría esa firma última.
Ya teniendo las que no detecta a 1 byte, procedemos a modificarlas al stub original con AvFucker, en mi manera de hacer, dejo en una carpeta (Offsets1) las indetectadas de 1 byte del archivo roto que hemos pasado por AvFucker varias veces y otra carpeta (Offsets2) para guardar las offsets a 1 byte del archivo funcional.
Testeamos lo que quede funcional.
Pretendo daros la idea así que no terminaré de indetectarlo, espero que lo entendáis!
Esta forma tiene muchísimas variantes, dependerá de vuestro uso de razón el aplicarlo de una manera u otra, lo que sí garantizo, es que con esto podeis decir adiós al Nod32 con toda seguridad, también es aplicable a Avira, pero este último tiene un modus operandi diferente al de Nod32 a la hora de colocar nuevas firmas.
Nota:
El proceso es largo hasta que vayáis cogiéndole el truco y vayáis aprendiendo qué toca cada firma, luego ya le pegareis vuestro toque personal. También va orientado a no tocar con otra cosa que no sea el mismo Locator, aunque podeis usarlo para localizar firmas y luego usar OllyDbg.
Es todo, espero sea de vuestra gratitud.
PDF -> http://www.mediafire.com/?pue2j64dt1zt741
Publicar un comentario