Avira 1 - Yo 0

lucasluks1004 · 31 Agosto 2011, 21:02 PM

El avira me sigue ganando aun no lo he logrado sacar he prodabado de todo y nda ,,el stub esta fud a todos menos al gran amigo avira ,,algo q me desconcierta mucho es q al hacer dsplit al stub y analizar todo es igual detectado lo mejor es q puse como offset incial el 1 y ni asi me deja uno sin ser detectado lo q me marca es la firma TR/Dropper.Gen ,, asi q nse como saltarlo ya q no hay offset q cambiar ,le cambie el icono y la descripcion del stub pero tmp hubo resultado ,,alguna ayuda plsss!

Karcrack · 1 Septiembre 2011, 02:25 AM

Es una detección genérica del Avira... Es un antivirus muy paranoico...

Lo más probable es que te detecte una cabecera PE de más... o tal vez tengas el PE sin alinear...

lucasluks1004 · 1 Septiembre 2011, 04:35 AM

No es el caso de realinear lamentablemente ya q no es el encryptado sino q es el stub una vez creado desde el proyecto ,,pero se q viene por el lado de la caebecera ahora q tocar nse

Karcrack · 1 Septiembre 2011, 11:38 AM

En ese caso es el sistema que utilizas para almacenar la información en el stub... Cual usas? EOF?

lucasluks1004 · 2 Septiembre 2011, 02:48 AM

lo q hago es lo mas basico pongo un separador la informacion cifrada y luego otro separadaro con la key y por ultimo un serparador mas ,,ojo q ya me detecta el stub sin la informacion agregada (seguro q el ecryptado tmb detecta pero ya el stub es detectado)

s0litari0 · 5 Septiembre 2011, 02:55 AM

avira detecta laa apis,pero para sacarlo de archivos binarios es un poco complicado,los metodos que se usan son todos privados,o si no los que no saben metodos,usan compresores y un par de cositas mas

Karcrack · 5 Septiembre 2011, 12:29 PM

Cita de: lucasluks1004 en 2 Septiembre 2011, 02:48 AM
lo q hago es lo mas basico pongo un separador la informacion cifrada y luego otro separadaro con la key y por ultimo un serparador mas ,,ojo q ya me detecta el stub sin la informacion agregada (seguro q el ecryptado tmb detecta pero ya el stub es detectado)

Esa técnica es EOF, es decir, que añades la información al final del fichero (End Of File)... Y es una técnica muy detectada...

Pero bueno, si te detecta ya el Stub sin configurar es cosa de heuristica.. es decir, que debes cifrar tus APIs... Doy por hecho que lo estas haciendo en VB6... Usa el buscador hay muchos códigos sobre el tema...

The Swash · 5 Septiembre 2011, 18:37 PM

Y sí, de acuerdo con Karcrack la detección está casi segura en la sección de importaciones (Pero en VB la estructura cambia). Cifralas con algún modulo (Call API) que use como mucho RtlMoveMemory y luego mueve la referencia de esta cadena en cualquier hueco de la cabecera PE y adiós firma

lucasluks1004 · 7 Septiembre 2011, 23:45 PM

Lo siento por no responder antes estuve con algunos problemas en el trabajo..

Desde ya gracias por contestar!!

Karcrack ,,siempre se aprende algo nuevo jaja no sabia q se llamaba asi lo q hacia,,q otro metodo existe para insertar el codigo en el stub?.

Y si estoy usando un callapi desde el comienzo gracias a eso me quedo el avira detectando mi stub ,The Swash me gustaria q me orientes un poco si es posible obviamente como se mueve la referencia de la cadena a cualquier hueco de la cabecera PE ,,SALUDOS.

Karcrack · 12 Septiembre 2011, 00:14 AM

Que código utilizas para hacer las llamadas de forma dinámica? Tal vez uses uno muy quemado... te recomiendo modificar un poco esos códigos ya que enseguida los AVs les ponen firmita...