Como modífico la firma? leer xfavor.

Iniciado por marreta, 14 Enero 2012, 18:42 PM

0 Miembros y 2 Visitantes están viendo este tema.

marreta

buenas, despues de mucho tiempo he decidido volver a trabajar con troyanos y como hacerlos indetectables.

solo que esta vez tengo una actitud de menos lammer por asi decirlo porque antes no me calentaba la cabeza y eso, pero el tema que ahora estoy intentando aprender a moddear crypter trabajar con stub. E leido algunos tutos, otros videotutos por rudeboy 1991, tambien un pdf llamado "como hacer tu troyano favorito indetectable sin morir en el intento" xD

bueno os cuento: la metodologia que uso yo porque he conseguido extraer de informacion en la red es la siguiente y es evidente que hago algo mal y que el ultimo paso por asi decirlo no se hacerlo.

1- partiendo de base con un crypter "indetectables crypter" su correspondiente Stub.exe, el server del Spy Net y un det av`s para el cual vas ha hacer que todo lo que encryptes va a ser indetectable para ese det antiviRUs. Intentamos localizar la firma dentro del Stub que va a detectar xxx antivirus, para ello nos valemos con el avfucker, el offsets locator 2.6 o con el signaturezero, mas o menos sirven para lo mismo localizar la firma esto es asi?. 
2-una vez que tenemos la firma localizada a 1 byte, es decir el intervalo de offsets que no me detecta xxx antivirus por ejemplo --> (8180-8200) nos vamos al editor hexadecimal hex workshop y procedemos a modificar la firma o ahora que es lo que tengo que hacer ese es mi problema porque llegado aqui he echo varias cosas pero he dejado el server no funcional

alguien me puede ayudar llegado a este punto o decirme si he echo algo mal antes
me podeis decir exactamente el motodo de indetectabilizacion que estoy usando( xor, rit , hex etc..)

gracias y un salu2!

j4np0l

En realidad, depende de donde este la firma, si la firma esta armada sobre instrucciones fundamentales para el funcionamiento del programa (en este caso, tu troyano), cuando lo cambies en un editor hexadecimal por cualquier otra cosa, el programa va a dejar de funcionar. Agarrá un dissassembler, fijate las instrucciones que se encuentren afectadas por la firma, y tratá de cambiarlas para que hagan lo mismo pero de otra forma (así ya no se detecta la firma).

Este método es bastante común, por lo que es bastante sencillo encontrar tutoriales en internet, inclusive me parece que hay un par dentro de este foro, pero no recuerdo bien (ej: busca alguno que te enseñe a modificar el flujo de ejecución del programa mediante el uso de jumps).

Saludos!

marreta

buenas, para empezar gracias por contextar amigo, entoces lo que tu me estas diciendo para hacer esos jumps, es que aplique el metodo rit no? tengo que buscar un tutorial de metodo rit y listo dejaria indetectable fud para el av,s con el que haya analizado, pero aqui me surge una pregunta: este trabajo que he echo durando cuanto tiempo perdura, es decir si moddeo mi crypter con todos los av,s que haya es para siempre??

gracias y un saludo!

j4np0l

Dura hasta que alguna compañia de AV se percate de la existencia de tu troyano, lo analice y cree una firma (si es que realmente lo dejas indetectable para cualquier AV).

marreta

amm vale pero como tu as dicho no creo ni que logre dejarlo indetectable realmente jaja porque es con el avast y no tengo webos a hacerlo con el metodo mas facil que supuestamente es el hexing y lo que hago no es otra cosa que esto

1- abro mi offset locator
2- meto mi anotador encryptado en el offset locator
3- creo una carpeta en la que se va a descoponer mi anotardor encryptado.
4- una vez exo esto inicio mi offset locator partiendo de 1000 en 1000, con offset inicial 1000 y final el que sea...n??
5- inicio y me salen un moton de offset en la carpeta que cree...
6- analizo la carpeta en la que estan los offset con el antivirus (en mi caso el avast), y elimino los offset detectados.
7- despues de eso se me quedan unos cuantos offset en mi carpeta, si le doy en el offset locator a mostrar offset me sale en offset inicial y el final...
8- hago doble clip en el cuadro de mostrar offset en el offset locator
9- ya me salen el offset final y inical que va a descomponer aora el offset locator, y automaticamente se me cambia y envez de partir de 1000 en mil aora parte de 100 en 100.
10- le vuelvo a dar a inicar, aora me salen otro monton de offset en la carpeta...
11- analizo mi carpeta...vuelvo a eliminar los offset detectados...
12- vuelvo al offset locator, mostrar offset, doble clip, me vuelven a salir offset inicial, final y aora parte de 10 en 10...
13- otra vez se llena la carpeta... la analizo, borro los detectados,
14- vuelvo al offset locator, mostrar offset, doble click, y aora parte de 1 en 1
15- analizo la carpeta, borro los detectados
16- aora me quedan unos 40 offset k van desde (8608_1)-(8639_1)
y segun tengo entendido esto es la maldita firma que tengo que modificar y que lo hago haciendo hexing con e editor HEXADECIMAL y no se que hago mal

marreta

lugo tambien hay mucha gente que en el paso dos mete el Stub del crypter en lugar del anotador encryptado alomejor la estoy liando hay?

j4np0l

Cita de: marreta en 15 Enero 2012, 18:27 PM
y segun tengo entendido esto es la maldita firma que tengo que modificar y que lo hago haciendo hexing con e editor HEXADECIMAL y no se que hago mal

Esta bien, conseguiste la firma, pero no podes modificar siempre un programa con un editor hexadecimal a ciegas, porque en muchos casos vas a hacer que deje de funcionar.

Mira, un programa es una serie de instrucciones, y si la firma se encuentra sobre algunas instrucciones que son fundamentales para el funcionamiento del programa, si las editas a ciegas, el programa deja de funcionar (que es lo que te está pasando). Por ahí te convendría leer un poco algunos conceptos básicos de programación, o buscar un tutorial que te explique realmente lo que estás haciendo (mas que darte una serie de instrucciones a seguir), asi te vas a dar cuenta de lo que está sucediendo.

Por ej, este es tu virus:


Instrucción 1
Instrucción 2
Instrucción 3
Instrucción 4
.
.
.
Instrucción N

Obviamente no lo ves así, porque lo estás abriendo con un editor hexadecimal (y no tenés el código fuente, a lo sumo lo podes ver en assembler).

Ahora, si para detectar el virus el AV usa como firma al conjunto de bits que conforman la instrucción 3 y 4, lo que tenés que hacer es modificar estas instrucciones. Ahí podes hacer dos cosas:

1. Cambiarlas con assembler (ej usando jumps) para que el programa haga lo mismo que antes pero de otra forma.
2. Cambiarlas ciegamente con un editor hexadecimal. El problema de esto es que, si las instrucciones 3 y 4 son fundamentales para el funcionamiento del stub, te va a dejar de funcionar. Es como si a la receta de una torta le borres los pasos de agregar la manteca y el chocolate, no vas a poder hacer nunca una torta. En cambio, si usas la solucion 1 y cambias la receta, por ejemplo le cambias el orden (primero el chocolate y despues la manteca) ya la receta es distinta (y por ende la firma), pero obtenes el mismo resultado (una torta  ;D).

Saludos!

marreta

muchas gracias por la explicacion j4np0l entiendo perfectamente lo que dices con el ejemplo puesto jaja. el tema es que como puedo saber si mi firma ha caido un una zona que el vital para el funcionamiento del programa?? Pues depende de si cae o no supongo que habra que usar un motodo u otro por ejemplo RIT. Otra cosa cuando dices que  el av detecta la instrucion 3 y 4 esto realmente seria la firma detectda haciendo av fucker no??(que en mi caso iria en este intervalo de offsets 8608-8639)  esto si no he echo mal av fucker (que tampoko estoy seguro de haberlo hecho bien) porque al utilizar el offsets locator subo el anotador encryptado, pero muchos suben en lugar de esto el Stub.exe original del crypter. mirad estas capturas de pantalla:
esta es del inicio de la firma
http://img194.imageshack.us/img194/8506/iniciofirma.jpg
esta muestra el offsets (que me sale funcional segun anotador y como lo he modificado poniendo un 90) de todos los offsets que me deja el avast al final al analizar byte a byte vamos lo que es la firma creo

http://img268.imageshack.us/img268/7142/offsets8616elquemedetec.jpg

final de la firma
http://img23.imageshack.us/img23/3138/findelafirma.jpg


gracias y ave si me pueden ayudar

Karcrack

Esa firma es característica de VB6... así que imagino que no solo te detecta eso... Creo que indica que el código se ejecuta en Sub Main()

Tarantis

Hola yo lo hago así y también con el spy net la versión 2.6 que para mi es la mejor y no me da errores:

1-Acorralo la firma con el signatureZero (Yo la acorralo totalmente para despues no tener que andar con el editor hexadecimal ha poner ceros)
2-Después de tenerla acorralada abro el editor y busco la firma,una vez la tengo localizada me fijo donde empieza y done acaba y abro el topo.
3-en el topo libero espacio dentro del programa y luego lo abro en el ollydbg.
4-una vez en el ollydbg modifico la firma.

Perdonen si no lo he explicado bien pero no es lo mismo hacerlo que explicarlo.
Si sigues sin encontrar una respuesta envíame un mensaje privado y hago un tuto bien explicado.

Posdata:Para mi la manera mas fácil es utilizar ingenieria social,no te hace falta hacerlo in-detectable y la verdad es que es mas fácil de lo que uno se piensa,si quieres te digo la manera mas rápida y eficaz de hacerlo envíame un mp y lo mejor de todo es que no seras un lamer porque se lo aras a personas que se lo merecen.
El conocimiento es libre.
Mi web:  http://elrincondelhack.ucoz.es/