Avira 1 - Yo 0

Iniciado por lucasluks1004, 31 Agosto 2011, 21:02 PM

0 Miembros y 4 Visitantes están viendo este tema.

lucasluks1004

El avira me sigue ganando aun no lo he logrado sacar he prodabado de todo y nda ,,el stub esta fud a todos menos al gran amigo avira ,,algo q me desconcierta mucho es q al hacer dsplit al stub y analizar todo es igual detectado lo mejor es q puse como offset incial el 1 y ni asi me deja uno sin ser detectado lo q me marca es la firma    TR/Dropper.Gen ,, asi q nse como saltarlo ya q no hay offset q cambiar ,le cambie el icono y la descripcion del stub pero tmp hubo resultado ,,alguna ayuda plsss!

Karcrack

Es una detección genérica del Avira... Es un antivirus muy paranoico...

Lo más probable es que te detecte una cabecera PE de más... o tal vez tengas el PE sin alinear...

lucasluks1004

No es el caso de realinear lamentablemente ya q no es el encryptado sino q es el stub una vez creado desde el proyecto ,,pero se q viene por el lado de la caebecera ahora q tocar nse

Karcrack

En ese caso es el sistema que utilizas para almacenar la información en el stub... Cual usas? EOF?

lucasluks1004

lo q hago es lo mas basico pongo un separador la informacion cifrada y luego otro separadaro con la key y por ultimo un serparador mas ,,ojo q ya me detecta el stub sin la informacion agregada (seguro q el ecryptado tmb detecta pero ya el stub es detectado)

s0litari0

avira detecta laa apis,pero para sacarlo de archivos binarios es un poco complicado,los metodos que se usan son todos privados,o si no los que no saben metodos,usan compresores y un par de cositas mas ::)
La posibilidad de realizar un sueño es lo que hace que la vida sea interesante.

www.dekoders.net

Karcrack

Cita de: lucasluks1004 en  2 Septiembre 2011, 02:48 AM
lo q hago es lo mas basico pongo un separador la informacion cifrada y luego otro separadaro con la key y por ultimo un serparador mas ,,ojo q ya me detecta el stub sin la informacion agregada (seguro q el ecryptado tmb detecta pero ya el stub es detectado)
Esa técnica es EOF, es decir, que añades la información al final del fichero (End Of File)... Y es una técnica muy detectada...

Pero bueno, si te detecta ya el Stub sin configurar es cosa de heuristica.. es decir, que debes cifrar tus APIs... Doy por hecho que lo estas haciendo en VB6... Usa el buscador hay muchos códigos sobre el tema...

The Swash

Y sí, de acuerdo con Karcrack la detección está casi segura en la sección de importaciones (Pero en VB la estructura cambia). Cifralas con algún modulo (Call API) que use como mucho RtlMoveMemory y luego mueve la referencia de esta cadena en cualquier hueco de la cabecera PE y adiós firma ;)

lucasluks1004

Lo siento por no responder antes estuve con algunos problemas en el trabajo..


Desde ya gracias por contestar!!

Karcrack ,,siempre se aprende algo nuevo jaja no sabia q se llamaba asi lo q hacia,,q otro metodo existe para insertar el codigo en el stub?.

Y si estoy usando un callapi desde el comienzo gracias a eso me quedo el avira detectando  mi stub ,The Swash me gustaria q me orientes un poco si es posible obviamente como se mueve la referencia de la cadena a cualquier hueco de la cabecera PE ,,SALUDOS.

Karcrack

Que código utilizas para hacer las llamadas de forma dinámica? Tal vez uses uno muy quemado... te recomiendo modificar un poco esos códigos ya que enseguida los AVs les ponen firmita...