comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOLUCIONADO] Indetectar crypter al avira

  • 5 Respuestas
  • 3565 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado pabloflv

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Julio 08, 2012, 05:05:33 pm »
Alguien tiene un método EFECTIVO, o sea nada de buscar en google ni youtube, para indetectar un crypter al avira, llevo una semana modeando uno que me baje (de source y binario) y es el unico hijo de su madre que no cayo ni una sola vez, ya probe XOR, Av-Fuck, DSplit, reemplazar varios strings con el hex workshop, randomize absolutamente todas las string del codigo (a mano y con un generador de strings random que me hice en VB) y reemplaze cuanto space, LOF y app.exename encontré y nada, el Avira ahí sigue con su maldito TR/Dropper.Gen. Respecto de google justamente muchos de los métodos que encontré los encontré buscando como burlar al avira
« Última modificación: Septiembre 18, 2014, 09:01:45 pm por Expermicid »

Desconectado Sanko

  • *
  • Underc0der
  • Mensajes: 541
  • Actividad:
    0%
  • Reputación 0
  • ¿Puedes?
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Julio 08, 2012, 05:11:34 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Alguien tiene un método EFECTIVO, o sea nada de buscar en google ni youtube, para indetectar un crypter al avira, llevo una semana modeando uno que me baje (de source y binario) y es el unico hijo de su madre que no cayo ni una sola vez, ya probe XOR, Av-Fuck, DSplit, reemplazar varios strings con el hex workshop, randomize absolutamente todas las string del codigo (a mano y con un generador de strings random que me hice en VB) y reemplaze cuanto space, LOF y app.exename encontré y nada, el Avira ahí sigue con su maldito TR/Dropper.Gen. Respecto de google justamente muchos de los métodos que encontré los encontré buscando como burlar al avira
La dropper es una firma obsesiva , detecta hasta cosas que no tienen que ver al malware.
Los pocos tips que hay para indetectarla son PRIVADOS, nadie podra ayudarte en esta pregunta.
Quitar avira trata de probar y probar , experimentar y experimentar hasta encontrar algun metodo que lo burle.
Por eso aunque la gente opine en encuestas lo contrario es el mejor antivirus con diferencia en relaccion de limpieza y obesision
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Desconectado pabloflv

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Julio 08, 2012, 05:17:36 pm »
Bueno supongo que tendré que encontrarlo yo, gracias por la respuesta igual.

Desconectado [L]ord [R]NA

  • *
  • Underc0der
  • Mensajes: 89
  • Actividad:
    0%
  • Reputación 0
  • H-Sec
    • Ver Perfil
  • Skype: lordrna
  • Twitter: lordrna
« Respuesta #3 en: Enero 12, 2013, 10:45:36 am »
tienes el fuente? En caso de tenerlo te recomiendo que busques las APIs de forma dinamica... eso suele desmontar al AVIRA, pero no lo hagas colocando el nombre de la funcion en el API directamente... encriptalo. sobre todo busca el WriteFile.

Si no te funciona procura reconstruir el PE-Header luego de que indexas el archivo que cifras, cualquier diferencia entre el tamaño del ejecutable y su cabecera hace que el Avira llore.
« Última modificación: Enero 12, 2013, 10:50:36 am por [L]ord [R]NA »

Desconectado Sanko

  • *
  • Underc0der
  • Mensajes: 541
  • Actividad:
    0%
  • Reputación 0
  • ¿Puedes?
    • Ver Perfil
    • Underc0de
« Respuesta #4 en: Enero 12, 2013, 11:43:01 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
tienes el fuente? En caso de tenerlo te recomiendo que busques las APIs de forma dinamica... eso suele desmontar al AVIRA, pero no lo hagas colocando el nombre de la funcion en el API directamente... encriptalo. sobre todo busca el WriteFile.

Si no te funciona procura reconstruir el PE-Header luego de que indexas el archivo que cifras, cualquier diferencia entre el tamaño del ejecutable y su cabecera hace que el Avira llore.
Disculpa que dude de tu explicación pero desde binario DUDO MUCHO que puedas eliminar una dropper... y si lo haces sería a base de compresores.
Lo que dices del PE-Header lo más seguro es que destrozara el binario entero...alguien que sepa sobre asm y como funcionan pues lo más seguro la dejaría clavada pero alguien que hace malware por aburrimiento como este user lo más seguro rompa todo.

Lo más sensato sería utilizar un runpe shellcode sencillito , encriptas el shellcode y lo desencriptas en la memoria para ya procesarlo y ADIOS AVIRA.
Un buen consejo por parte de metal y COMPROBADO.
« Última modificación: Enero 12, 2013, 11:44:55 am por Sanko »
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Desconectado [L]ord [R]NA

  • *
  • Underc0der
  • Mensajes: 89
  • Actividad:
    0%
  • Reputación 0
  • H-Sec
    • Ver Perfil
  • Skype: lordrna
  • Twitter: lordrna
« Respuesta #5 en: Enero 12, 2013, 11:53:29 am »
Sanko... conozco el PE-Header, se ASM, conozco Avira, y sobre todo, se de lo que estoy hablando...  Es todo lo que tengo que decir al respecto.

Te recomiendo que leas bien lo que dice Pabloflv... dice que tiene el source.

 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 6260
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 2127
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 1535
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 2672
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Problem al instalar Windows "cualquier windows"

Iniciado por Made

Respuestas: 7
Vistas: 2884
Último mensaje Septiembre 03, 2012, 04:53:08 pm
por Made