[SOLUCIONADO] Duda indetectar server

Hola, he leído el manual de ANTRAX de Indetectables de Oro, y tengo algunas dudas (perdonenme si lo que pregunto es muy obio).

- La primera duda es que en la primera forma, método ANTRAX (tapando offsets) dice que con un crypter aveces hace que el server tenga menos offsets, pero, (perdonen si estoy en error, repito soy muy newbie) los crypters no codificaban el server de modo que es indetectable ante los AVs? Cuando abres el server, los AVs te detectan el server porqué se descifra el server no?. Por eso pienso yo que si antes de aplicarle el método lo pasamos con un crypter puede que tenga menos offsets pero cuando se abra el server, los offsets que con el crypter desaparecieron, aquí reaparecen no? Siento si no es así y porfavor si la función de los crypters es diferente haganmelo saber.

- La segunda duda es que según el manual cuando analizas el server con un AV, te detecta los offsets y cuando termina, el AV te informa de el número de offsets que ha detectado pero yo, con mi AV (panda internet secuity 2011)  cuando analizo un malware me sale : Analizados=el numero de archivos   Infectados=1  Solucionados=1 y pongo detalles y me dice comenzado a....(pone: analizando sistema) virus neutralizado...(su nombre)  fin de análisis=...(pone: analizando sistema) pero como se pueden ver los offsets del server?

Gracias por su paciencia y su tiempo y gran manual de de Indetectables de Oro, y quiero agradecer a ANTRAX la paciencia, tiempo y dedicación que emplea para hacer estos manuales.

Yo sinceramente no estoy muy metido en el tema, pero no me queda muy claras tus dudas ya que te enredas mucho al explicar.. Pero mira el crypter lo que hace es sustituir el Stub del archivo por el Stub que contiene el crypter (corriganme si me equivoco porque no estoy muy seguro del tema). Tal vez has encryptado tu server con un crypter viejo ya quemado que no este fud y por eso te lo detecta el AVs, si esa no es tu duda aclara un poco mas y tratare de responder.
Y con tu segunda pregunta pienso que no te dice la cantidad de offsets que detecta porque los AVs estan hecho para las pc de usuarios no avanzados.. Que quiero decir con esto? que es mas facil que salga una alerta diciendo que detecto una amenaza y no un cartel que diga hemos detectado 15 offsets, eso pienso yo
Igual no estoy seguro de lo que te estoy diciendo ya que no toco la seccion malwares hace mas de 1 años :S
Porfavor corriganme en lo que me aya equivocado.
Saludos.. Cronos.-

Si, la primera duda era un poco la función de un crypter y como afecta al server, devido a que yo creía que cuando encryptabas un server pasaba inadvertido por los AVs pero cuando abrias el server se desencriptaba y volvía a ser vulnerable, quería comprobar si eso era cierto o si el server encriptado cuando se abría seguía encriptado y no era detectado nunca, eso era mi duda.

En la segunda pregunta de los offsets que detecta el AV, era porqué en el manual Indetectables de Oro decía que se tenía que mirar con el AV los offsets que tenía el server por eso pregunté como verlo, porqué con mi AV (panda internet security 2011) no sé como ver los offsets de un server, si alguien me pudiera explicar cómo verlos o decirme algun AV que te lo muestre sencillamente.
Gracias

Buenas,

Respondiendo a tu primera pregunta, hay dos tipos de crypters, los scantime y los runtime
Los runtime, al ejecutar el server, se desencrypta en memoria, éstos son los mas usados y mejores
Los scantime solo te van a hacer indetectable el server al pasar el antivirus con el click derecho, pero el ejecutar el server encryptado, éste se va desencryptar y va a copiar el serer original en una carpeta temporal, y ahí el antivirus te lo va a detectar.

Si quieres una explicacion mas detallada de como funciona cada crypter, busca algun tutorial por ahi, que los hay.

A la segunda pregunta: El nombre del offset que tienes que saber son los que te deja sin detectar en la carpeta donde hiziste el AVFucker, normalmente llamada "temp". Analiza esa carpeta y borra todo lo que te detecte, y los archivos que queden sin detectar, pues esos son los offsets indetectables

Saludos espero haberte ayudado 

Gracias por la info, me has aclarado bastante pero supongo que me tengo que mirar un buen manual de crypters jeje y todo eso del codigo EOF.
Y respecto a lo de los offsets ahora mismo no lo puedo probar, he mandado a formatear a mi portatil y que le metan el Windows 7, cuando lo tenga ya lo probaré, gracias (este ordenador que uso ahora mismo es portatil y no tiene ni wifi ni lector DVD, no te digo nada mas xD).

Mira UNOM, tu duda de los offsets es que creo que no sabes bien que son, para hacerte mas facil el tema usando un crypter fud, te deja indetectable el server y cuando lo ejecutas sigue indetectable, ya que el crypter lo que hace es copiar el stub que contiene este crypter (esta codeado este stub y es indetectable) por el del server que puede ser detectado. Cuando tu te metas mas al tema y hagas tus propios crypter tendras que saber mas del tema, que son los offset, como sacar las firmas, los metodos AvFucker, Dsploit, Rit, Hex y mas.
Ahi info de esos temas en el foro. Tan solo busca y lee.
Saludos,, Cronos.-