Como eliminar la firma del Nod32 para que no me lo detecte?

Iniciado por lucky1234, Noviembre 18, 2017, 06:54:14 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 18, 2017, 06:54:14 PM Ultima modificación: Noviembre 27, 2017, 12:31:41 PM por HATI
Buenas haciendo un tutorial que habia visto sobre como generar payloads fuds con msfvenom y utilizando el .Net Reactor para ofuscar el codigo,he conseguido un .exe que solo lo detecta el Nod32 y es funcional ya que al ejecutarlo me devuelve la sesion de meterpreter,he estado viendo algun post y video de como como limpiar las firmas usando el Indetectables Offset Locator (ya sabes de cual hablo) hice algo asi,bueno esto lo hice porque vi en un video que cuando estaban moddeando el stub de un crypter hacian lo mismo para eliminar la firma y deduje que por que no podria hacerlo asi,pero es que no se si realmente asi se hace bien porque la verdad no tengo mucha idea sobre esto.



El Nod32 me detecta los Offsets que me genera del primero al ultimo sin embargo no me los elima el Nod32 y cuando subo cualquiera de los archivos a nodistribute me dice que esta limpio.

Lo que yo he visto es que cuando generan los Offsets y pasan el Nod32 detectan cuales son maliciosos y los elimina dejando algunos offsets que el numero de ese offset sera usado para modificar el binario reemplazando por el numero que le hayamos puesto en el Offset Locator en este caso 00 de esta manera el Nod32 no lo detectara.

La verdad es que estoy muy perdido en esto quien me pudiera guiar en el camino se lo agradeceria,gracias :)
Noviembre 19, 2017, 03:39:31 AM #1
Si te borra todos los offsets a 1000 bytes bájalo directamente a 100, si te sigue pasando puedes pasar directamente a 1 byte, te recomiendo que si vas a hacerlo directamente con un byte crees una virtual para que no se te dañe el disco duro y ten paciencia, serán 65000 archivos.

Un saludo
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP
Noviembre 19, 2017, 09:48:10 AM #2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si te borra todos los offsets a 1000 bytes bájalo directamente a 100, si te sigue pasando puedes pasar directamente a 1 byte, te recomiendo que si vas a hacerlo directamente con un byte crees una virtual para que no se te dañe el disco duro y ten paciencia, serán 65000 archivos.

Un saludo

Buenas lo que me pasa es que me detecta todos los ficheros,como se ve en el reporte,pero sin embargo no los elimina el Nod32 cuando deberia hacerlo y al subir cualquier archivo a nodistribute me dice que esta limpio 0/35.... por eso te digo que estoy al liado, ya que segun tengo entendido al detectar los offsets maliciosos los ira eliminando el AV y poco a poco dejando los offsets que no detecte y volviendo a realizar el proceso con el indetectables locator podremos ver en que offsets esta la firma y posteriormente con el editor hexadecimal modificar los bytes de la posicion de los offsets donde se encuentre la firma,lo veo como cuando nos quitaba nuestra madre los piojos de pequeñitos....

Corrijeme si me equivoco
Noviembre 19, 2017, 03:04:48 PM #3
El nod32 a partir de la 5 version implemento una proteccion anti-modding, tienes que usar una version menor o igual a la 4
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP
Imprimir
Ir Arriba Páginas1
Acciones del Usuario