Ayuda con firma Win32:VBCrypt-VW !!

Iniciado por VanHelsing810, 29 Noviembre 2014, 02:49 AM

0 Miembros y 1 Visitante están viendo este tema.

VanHelsing810

Alguien me podria deciir como saltar esta firma Win32:VBCrypt-VW en avast eh echo desplit alternativo  los offset del desplit me quedan 5 concecutivos cuando hago avfuker en ese rango de offsets salen detectados.

y mirando con olly esos offsets caen en pocos bytes para el rit

x64core

Cita de: VanHelsing810 en 29 Noviembre 2014, 02:49 AM
Alguien me podria deciir como saltar esta firma Win32:VBCrypt-VW en avast eh echo desplit alternativo  los offset del desplit me quedan 5 concecutivos cuando hago avfuker en ese rango de offsets salen detectados.

y mirando con olly esos offsets caen en pocos bytes para el rit
Sí, dejar de programar malware en VB y aprender C/C++.

VanHelsing810

#2
Si , ya me parecia empesarè algo a ver algo en C++  gracias por tu respuesta

Elargrt

Prueba rellenando con 90 el VB5! con HexWork(si es que lo programaste en VB6)
Saludos

.:UND3R:.

Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:

FIRMA
FIRMA
FIRMA
SIGUE CODIGO
FINAL CODIGO

quedaría
FIRMA
JMP FINAL CODIGO
FIRMA
FIRMA
JMP SIGUE CODIGO


Saludos y suerte

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

x64core

Cita de: .:UND3R:. en  1 Diciembre 2014, 04:22 AM
Si llama o realiza una función indispensable, puedes hacer un injerto es decir poner un JMP:

FIRMA
FIRMA
FIRMA
SIGUE CODIGO
FINAL CODIGO

quedaría
FIRMA
JMP FINAL CODIGO
FIRMA
FIRMA
JMP SIGUE CODIGO


Saludos y suerte
Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.

xxxposeidonxxx

Cita de: x64Core en  1 Diciembre 2014, 16:22 PM
Sï, y hacer todo eso para que malware indetectable dure nada mas 30 mins? Removiendo firmas "manualmente" es una perdida de tiempo, ¿CUANDO LA GENTE VA A ENTENDER ESO?. Programas como "AVFucker" o cosas asi, es un total desperdicio de tiempo, mejor empezar a aprender C/C++ y leer acerca de Windows Internals.

Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo.

PD:No se modifica por modificar o por el tiempo que dure,  es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como  el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente.
saludos

x64core

#7
Cita de: xxxposeidonxxx en  6 Diciembre 2014, 02:52 AM
Porque una perdida de tiempo? acaso crees que no va a durar lo mismo una modificación de binario bien hecha que un recién programado desde 0? Por esa regla de tres... Ambas cosas son una perdida de tiempo.
Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado.

Cita de: xxxposeidonxxx en  6 Diciembre 2014, 02:52 AM
PD:No se modifica por modificar o por el tiempo que dure,  es por placer, es competir con antivirus. Divertirte viendo como acabas con ellos es una manera de sentirte agusto, como  el que vulnera un servidor y una vez vulnerado se marcha a otro, acaso es una perdida de tiempo? No a el le gusta son retos que se pone la gente.
saludos
¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV?
Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible.

Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién?

-

Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs.

xxxposeidonxxx

Cita de: x64Core en  6 Diciembre 2014, 05:26 AM
Si te refieres al malware mismo entonces se programa un obfuscador, o si te refieres al obfuscador entonces tu obfuscador está mal diseñado.
¿Y segun lo que piensas modificando bytes de programas significas que estas acabando con algun AV?
Si almenos te imaginaras cuanto malware es detectado en sitios como VirusTotal, llegan de cientos hasta más de mil al dia ahora imagina cuanto malware es cargado a los servidores de algun AV como Kaspersky que tiene millones de usuarios en todo el mundo, Antivirus como ese ya están preparados para manipular tal cantidad de malware al dia y crear una firma estatica lo más rapido posible.

Si quieres hacer una prueba sube algun malware que no sea detectado por ningun AV a VirusTotal te apuesto a que no ha pasado ni una hora cuando ya es detectado por más de un AV, y cuanto tiempo te toma para quitar todas las firmas de un troyano como Darkcomet? horas supongo no? sin mencionar que tienes que esperar a que el AV genere la firma para saber que bytes a rellenar. Asi que ¿quién está acabado con quién?

-

Si realmente queres joder a los AVs entonces crea un motor polimorfico para que genere código dinamico que te tome 5 seg para cifrar y dejar indetectable el malware o analizar los modulos de kernel de algun AV para encontrar como sus emuladores/VMs funcionan y crear un "Anti", esa es la manera de realmente saber joder a los AVs.


Hace mucho tiempo que modificar  Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.


x64core

#9
Cita de: xxxposeidonxxx en  7 Diciembre 2014, 02:56 AM
Hace mucho tiempo que modificar  Byte por byte no sirve de nada. Bueno esto es un tema largo pero no quita la diversión de hacer lo manual mente. Esta claro que programando llegas mas rápido a la meta pero el modding de binario sigue siendo el modding. Y sobre lo de VT... No se yo.. tal vez subes un FUD con 2 cojones y creo que pasaría desapercibido días... Tampoco lo e comprobado.


¿Hace mucho tiempo que no sirve de nada? ¿Desde cuando fue una solución en general? Incluso los escritores de virus desde los años de 1990 escribian motores polimorficos y metamorficos en virus para evadir firmas de AVs. Y el punto de subir a VirusTotal es la rapidez con la que los AVs pueden generar una firma estatica para un malware. Acerca del modding prefiero crackmes, packers... son más divertidos que estar removiendo firmas de AVs en un programa... pero bueno.

-
Ahora, si apesar de eso aún crees que remover firmas "manualmente" podria ser una solución hay cosas importantes en la modificación de malware ya que uno no sabe si se estaría modificando la infraestructura del mismo, dejandolo sin funcionar. Muchos casos por ejemplo: comprobadores de integridad, offsets fijos o cualquier situación en la que se considere algun valor fijo... Todo esto sin mencionar que si estas agregando código/datos a alguna sección es posible que sea necesario actualizar la sección y todas las posteriores y valores de la imagen PE y también saltos relativos, en otras palabras se necesitará una regeneración de toda la imagen PE lo cual todo eso en la mayoria de los casos es una tarea imposible de realizar, se necesitará información que sólo es disponible al programar el malware. En verdad que basuras como "AVfucker" nunca debieron existir.