Alguien tiene un método EFECTIVO, o sea nada de buscar en google ni youtube, para indetectar un crypter al avira, llevo una semana modeando uno que me baje (de source y binario) y es el unico hijo de su madre que no cayo ni una sola vez, ya probe XOR, Av-Fuck, DSplit, reemplazar varios strings con el hex workshop, randomize absolutamente todas las string del codigo (a mano y con un generador de strings random que me hice en VB) y reemplaze cuanto space, LOF y app.exename encontré y nada, el Avira ahí sigue con su maldito TR/Dropper.Gen. Respecto de google justamente muchos de los métodos que encontré los encontré buscando como burlar al avira
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Alguien tiene un método EFECTIVO, o sea nada de buscar en google ni youtube, para indetectar un crypter al avira, llevo una semana modeando uno que me baje (de source y binario) y es el unico hijo de su madre que no cayo ni una sola vez, ya probe XOR, Av-Fuck, DSplit, reemplazar varios strings con el hex workshop, randomize absolutamente todas las string del codigo (a mano y con un generador de strings random que me hice en VB) y reemplaze cuanto space, LOF y app.exename encontré y nada, el Avira ahí sigue con su maldito TR/Dropper.Gen. Respecto de google justamente muchos de los métodos que encontré los encontré buscando como burlar al avira
La dropper es una firma obsesiva , detecta hasta cosas que no tienen que ver al malware.
Los pocos tips que hay para indetectarla son PRIVADOS, nadie podra ayudarte en esta pregunta.
Quitar avira trata de probar y probar , experimentar y experimentar hasta encontrar algun metodo que lo burle.
Por eso aunque la gente opine en encuestas lo contrario es el mejor antivirus con diferencia en relaccion de limpieza y obesision
Bueno supongo que tendré que encontrarlo yo, gracias por la respuesta igual.
tienes el fuente? En caso de tenerlo te recomiendo que busques las APIs de forma dinamica... eso suele desmontar al AVIRA, pero no lo hagas colocando el nombre de la funcion en el API directamente... encriptalo. sobre todo busca el WriteFile.
Si no te funciona procura reconstruir el PE-Header luego de que indexas el archivo que cifras, cualquier diferencia entre el tamaño del ejecutable y su cabecera hace que el Avira llore.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
tienes el fuente? En caso de tenerlo te recomiendo que busques las APIs de forma dinamica... eso suele desmontar al AVIRA, pero no lo hagas colocando el nombre de la funcion en el API directamente... encriptalo. sobre todo busca el WriteFile.
Si no te funciona procura reconstruir el PE-Header luego de que indexas el archivo que cifras, cualquier diferencia entre el tamaño del ejecutable y su cabecera hace que el Avira llore.
Disculpa que dude de tu explicación pero desde binario DUDO MUCHO que puedas eliminar una dropper... y si lo haces sería a base de compresores.
Lo que dices del PE-Header lo más seguro es que destrozara el binario entero...alguien que sepa sobre asm y como funcionan pues lo más seguro la dejaría clavada pero alguien que hace malware por aburrimiento como este user lo más seguro rompa todo.
Lo más sensato sería utilizar un runpe shellcode sencillito , encriptas el shellcode y lo desencriptas en la memoria para ya procesarlo y ADIOS AVIRA.
Un buen consejo por parte de metal y COMPROBADO.
Sanko... conozco el PE-Header, se ASM, conozco Avira, y sobre todo, se de lo que estoy hablando... Es todo lo que tengo que decir al respecto.
Te recomiendo que leas bien lo que dice Pabloflv... dice que tiene el source.