Cambiar firmas detectadas.

Iniciado por Harkox, 15 Febrero 2011, 14:33 PM

0 Miembros y 1 Visitante están viendo este tema.

Harkox

Hola a todos, escribo este mensaje por que estoy intentando dejar indetectable un servidor a los antivirus y tengo un problema con las firmas.
Ya tengo las firmas que me detecta NOD32 localizadas, concretamente son las que os muestro en la siguiente imagen:




Uploaded with ImageShack.us

El problema es que al cambiar el valor de dichos offsets (he probado a incrementar en 1 valor cada uno de ellos de forma independendiente) el servidor no funciona como debería. O bien no conecta o bien se ejecuta y al cabo de 1 minuto más o menos da error de windows.
Me gustaría pedir que si alguien tiene alguna idea de por donde seguir investigando o de que forma modificar estos offsets de forma correcta le agredeceria que me indicase el camino a seguir. Un saludo y gracias de antemano!

[Zero]

Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Harkox

Vale ok muchas gracias, ya sabía yo que estaba haciendo algo mal. Voy a probar con olly a ver que tal se me da. Muchas gracias por tu tiempo y por la rapidez de tu respuesta.

[Zero]

Nada, para eso estamos, cualquier duda comenta en este hlo  :P.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Harkox

Pues a riesgo de ponerme pesado vuelvo a escribir en este mismo hilo. He desgargado e instalado ollydbg. Nunca he usado este programa (tengo nociones mínimas de ensamblador) y no se de que forma puedo localizar firma correcta. Es decir, necesito encontrar que instrucción en ollydbg es la que se corresponde con la FF 25 que me indica el workshop. Si alguien puede indicarme como hacerlo se lo agradecería muchisimo. Un saludo!!

[Zero]

Leete ésto, seguramente te sirva:

http://www.megaupload.com/pt/?d=GOQQS0W6
Pass:
http://www.octalh.mx.gs

Y bueno, sería muy recomendable que aprendieras bien a usar ollydbg (en la web de ricardonarvaja tienes muchísima información) y todo lo que puedas sobre ensamblador.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Harkox

Ok muchas gracias, estoy descargandolo y me pondré con ello a ver si soy capaz de hacerlo. También seguiré tu consejo y comenzaré a aprender ensamblador...aunque me siento muyyy pequeñito ante lo que parece una tarea muy grande :D . En fin, paciencia y constancia :D . De nuevo muchas gracias!!

sabeeee

Cita de: [Zero] en 15 Febrero 2011, 14:47 PM
Es que es normal que lo rompas, cada byte que ves en el editor hexadecimal corresponde a una instrucción, si cambias el valor cambias la instrucción, y dificilmente conseguirás que la instrucción original y la nueva hagan lo mismo cambiando los bytes a pelo... Usa un debugger como ollydbg, desde ahí puedes ver qué instrucción pertenece a esos bytes, y puedes probar a cambiarla por otra que haga lo mismo, o algo muy parecido. Para esto necesitas al menos unas nociones de ASM.

Saludos
pero ¡el detector de movimientos sospechosos?? y si el av tiene otra euristica o como se llame?
"Vengándose, uno iguala a su enemigo; perdonando, uno se muestra superior a él."
Francis Bacon

N30h}

Aprovecho para decir:
Sé que hay tutos por internet y tal.
Pero podría alguien hacer uno y ponerlo en manuales de elhacker.net...
Es que de esas cosas casi no hy nada

N30h}

Saludos
Aprovecho para preguntar algo, ya que este hilo es muy parecido.
Alguien podría hacer o darme un manual de detectar firmas (que las  detectan)
Porque yo sé, pero de un metodo creado por mí.
Abrir mi virus )ej( y cambiar media parte del programa a NOP´s.
Guardarla en otroa carpeta y mirar si lo detecta el antivirus.
Así cada vez con trozos más pequeños.
Pero vuelvo apreguntar:
¿No hay otro metodo más fiable y rápido?