buenas: el caso es que quiero modear algun crypter para empezar.......pille uno viejito y quemadito use el metodo avfucer yl el hexworshop y utilize mi antivirus para escanear el resultado, solo pretendo burlar mi av, y despues de todo me quedaron funcionales del 1024 al 1535 , pille el 1024 lo cambie y al escanear el sutb.exe me dio limpio hasta hay bien ( creo) pero al encryptar un rat ( cybergate ) me da positivo , y no se por que?
una pregunta.........ya a un bit
-si me quedan limpios del 1024 al 1535 y como son copias del stub.exe,por que no usar el 1024 directamente renombrandolo a stub.exe y sustituyendolo por el original sin modificar nada?
-al hacer goto offset 1024 se situa el cursor en el inicio de 1024?, y que se cambia solo esos 2 numeros o algo mas , ejemplo:
34 32 56 33 45 12 a4 a5.........en este caso de ejemplo se cambiaria solo el inicio del offset que sustituiriramos por 90 que el el numero que puse en el avfucer.....y quedaria asi
90 32 56 33 45 12 a4 a5.........o hay que cambiar mas.
en el caso de que intente el avfucer con el stub limpio mas el server del cybergate, vamos el tipico server.exe ya encryptado , como puedo saber que no he jodido el server, sin necesidad de ejecutarlo en un pc victima?
me he visto algunos videos he leido y esas dudas todavia las tengo
No soy un experto pero, cuando usas AVFucker y ya no puedes seguir con las firmas y te queda sacar un Antivirus más, se suele utilizar otro método (DSplit, RIT) conservando ese archivo último de tu AVFucker.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
como puedo saber que no he jodido el server, sin necesidad de ejecutarlo en un pc victima?
Cuando moddeas lo haces siempre con el Stub del Crypter y nunca directamente del Server, por lo tanto lo que se utiliza siempre es un pequeño software que solamente se abre, es decir, muchos modders tienen lo que se llama "bolita" que es solamente un pequeño programa hecho en VB sino recuerdo mal que se abre y nuestra un dibujo solo para mostrar que el Crypter no lo ha corrompido.
Saludos
Uso bolita.exe para comprobar que el crypter no romperia el server,eso ya lo tengo claro, pero como comentaba despues de modificar el stub.exe con el metodo avfucker - hexworkshop .....le paso el AV al stub.exe modificado y me da limpio,despues encrypto bolita.exe y funciona bien y no es detectado por el AV, pero si encrypto un server el mismo AV lo pilla, y no se por que, o que estoy haciendo mal, por eso puse lo de las modificaciones como las hago.....
Porque es indetectable scantime pero no runtime, quiere decir que no está 100% FUD.
Saludos
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Porque es indetectable scantime pero no runtime, quiere decir que no está 100% FUD.
Saludos
Efectivamente es por lo que ha dicho
@Stiuvert (https://underc0de.org/foro/index.php?action=profile;u=3790), el antivirus no lo detecta a la hora del scaneo (scantime), pero al ejecutarlo, lo analiza en runtime dando positivo y bloqueando su ejecución.
Quizás esto te aclare las ideas:
Whats the difference between a Runtime and Scantime Crypter?
A Runtime Crypter encrypts the specified file and when executed (ran), it is decrypted in memory. This way antiviruses aren't able to analyse the file before executed and after executed.
A scantime Crypter encrypts the specified file so antiviruses aren't able to analyse the file only before executed but NOT when executed.
Deberás seguir moddeando el stub :P
Saludos.
Ok seguire con ello :'(
Gracias por vuestra ayuda