Ayuda con crypters

Iniciado por W0lFy, 16 Noviembre 2010, 04:15 AM

0 Miembros y 1 Visitante están viendo este tema.

W0lFy

Buenas me gustaria programar un crypter, pero esto un poco PEZ en algunos aspectos, he leido manuales por aqui por el foro y aun asi de seguirlos creo que se quedan ya obsoletos ante las firmas de KAspersky por ejemplo...
he estado probando con la herramienta Signature Zero para bucar las firmas del kaspersky en el bifrost, y llevo varios dias con editores hexadecimales y cuando creo que todo acaba vuelve a aparecer una que ya me rompe los esquemas, existe alguna manera de conseguir estas firmas de otra forma? Un saludo y perdonad mi ignorancia en esto...
K@NuT0

Karcrack

Has dicho programar, en cambio leo que has estado intentando quitar firmas...
Si lo que quieres decir es que a un Crypter que tu has programado se le esta detectando con ciertas firmas dependera del tipo de deteccion lo que has de hacer para eliminarla...

Si lo has programado tu; Que detecciones te saltan?

W0lFy

#2
Cita de: Karcrack en 16 Noviembre 2010, 20:17 PM
Has dicho programar, en cambio leo que has estado intentando quitar firmas...
Si lo que quieres decir es que a un Crypter que tu has programado se le esta detectando con ciertas firmas dependera del tipo de deteccion lo que has de hacer para eliminarla...

Si lo has programado tu; Que detecciones te saltan?

Todavia no he programado nada , me gustaria empezar a programarlo, hasta ahora he estado mirando manuales que estan bastante bien de como meter RC1 o distintos algoritmos de encriptacion en aquellos offset donde salta la firma, bueno el problema es que estuve mirando en que offset saltaba la firma del kaspersky en el bifrost, y detecte mediante editores hexadecimales y tambien con ayuda de "signature zero" aquellos sitios donde kaspersky detectaba la firma del bifrost. conseguí sacar 4 firmas
diferentes que eran estas:

BIFROSE.ADP
6A 02 68 BC 73 40 00 BF 28 70 40 00 68 59 03 00 00 57 E8 B4 FF FF FF 6A 02 68 B8 73 40 00 BE 28 10 40 00 68 00 60 00 00 56 E8 9D FF FF FF 83 C4 20 68 A8 73 40 00 FF 15 04 10 40 00 8B 1D 00 10

BIFROSE.ACI
80 86 22 EE 61 64 C7 97 00 E2 EC B3 97 FF 45 92 EA E4 BE B6 00 3E A2 33 44 08 C4 FE 45 FF 71 DB 24 85 A3 35 86 29 72 46 E0 85 28 DE F7 22 27 94 83 15 D8 8F 2E 96 BF CE A5 36 63 A5 A4 B3 9A 92 BA B1 35 16 A4 C7 76 A3 1F D3 40 43 80 17 D9 98 91 A7 83 D3 8F A0 A4 F0 4F 2E 95 19 D8 E7 66 BD 93 8F FA 94 88 19 4B 73 EA B8 EB E6 84 A3 85 DC F4 A4 64 9A 32 54 27 F8 79 D7 9B F1 65 33 8D 35

BIFROSE.ACI
D4 D1 FD 88 C5 FA C6 FA BF F8 F8 E3 E7 E1 FB ED 09 29 08 89 D7 ED E4 E2 F1 B8 F2 F0 E8 F1 E4 FD C8 91 DE E4 FE F0 F1 FE F8 DA 58 FD D3 D7 00 09 00 49 FB FF E4 D5 91 EE F9 C5 0A E2 B5 C1 EB E6 EF FF D6 FB EC D6 08 09 20 D8 41 DE FE E1 CF FC C5 91 FD FA DF D0 EC E2 C5 97 41 F9 FD BF D5 B5 F1 E2 F9 E6 FC F6 17 29 98 41 01 F1 E6 EE F0 E5 1A F9 D0 F0 FE F3 FE E3 F1 40 0B 5B 86 B5 BC 99

BIFROSE.ACI
C6 F6 F6 82 D6 85 93 95 F6 66 F6 F6 F6 E6 F6 F6 F6 F6 F6 F6 F6 F2 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 76 F6 F6 16 C7 F6 F6 82 D6 85 93 95 F6 96 F6 F6 F6 56 F6 F6 F6 AE F6 F6 F6 F2 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 B6 F6 F6 16 C4 F6 F6 82 D6 85 93 95 F6 E6 F6 F6 F6 F6 F7 F6 F6 F2 F6 F6 F6 AA F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 F6 B6 F6 F6 36 F6 F6 F6 F6 F6 F6 F6 F6

entonce compile de nuevo y sustitui esas firmas por 00( se que no funcionaria el server pero por simple curiosidad de dejar indetectado kaspersky), entonces me salta con que detecta otra firma: bifrose.acs

cuando me pongo a detectar la firma resulta que no era igual que las otras firmas, cogia un rango de bytes bastante grande donde si eliminaba entre medias algunos bytes seguia detectando la firma, pero si eliminaba  hasta abajo ya no al detectaba, era bastante extraño, y no es una deteccion por heuristica por que creo que el antivirus lo pone cuando detecta algo por heuristica, es el kaspersky11. El caso es que estoy intentando coger todas las firmas para luego con olly meter algun codigo en ASM y poder burlar al antivirus, ya sabiendo esto me dispondre de programar un crypter, que me gustaria bastante la idea.Sólo que me he quedado estancado por que la ultima firma me dejado un poco :S y creo que no voy por buen camino, alguien me puede echar una mano y decirme que estoy haciendo mal y por donde tengo que ir? Un saludo y sigo diciendo que perdoneis mi ignorancia, hasta ahora no me habia metido nunca con este tema, de todas formas seguire leyendo manuales... ;)
K@NuT0

kisk

Caray otro que quiere modificar el bifrsot
por que no simplemente consigues un crypter no tan viejo y lo modeas esque modear el bifrost creo qu eno te sera facil ya esta completamente detectado firmas por donde quiera
Saludos
La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)

W0lFy

Citar
Caray otro que quiere modificar el bifrsot
por que no simplemente consigues un crypter no tan viejo y lo modeas esque modear el bifrost creo qu eno te sera facil ya esta completamente detectado firmas por donde quiera

Creo que si quiero crear un crypter no es la mejor solucion, me gustaría seguir buenos pasos para poder empezar el proyecto, mi finalidad no es dejar indetectable el bifrost o el posion, mi finalidad es poder crear un crypter que haga FUD a todo stub que le pase..... si alguien pudiera ayudarme un poquito se lo agradecería. Un saludo!
K@NuT0