Duda para modificar un crypter

caramel0rar0 · 4 Enero 2012, 21:21 PM

Pues estuve haciendo una mod a un crypter muy antiguo, y le quité el KAV, AVG, NIS... pero tengo un problema con algunos AVs como Panda, BitDefender o Avira, y es que al analizar los offsets el AV me detecta todas y entonces me los borra todos.

Mi pregunta es: ¿con qué método puedo modificar este crypter si tanto para RIT, hexadecimal, XOR.... necesito tener localizada la firma?

Espero ayuda, ya me desespero con esto....

Karcrack · 4 Enero 2012, 22:48 PM

No todas las detecciones son por firma... aveces son heuristicas... lo que significa que una combinación de factores hace que salte la alerta...

Que detecciones te da?

caramel0rar0 · 4 Enero 2012, 23:04 PM

Pues espera, voy a mirar ahora que detección me da.... Ya lo miré, y me da Gen:Trojan.Heur.VP2.jm3@a4zySMii y otras muchas Gen:Trojan.Heur.ZGY.5

Mientras aprobecho para preguntar tambien: ¿entonces para quitar estes AVs que método uso si para usar RIT, XOR o hexadecimal necesito saber cuales son las firmas?

Karcrack · 5 Enero 2012, 11:33 AM

Fíjate en el "Heur" de las detecciones... esto indica que es una detección heuristica...

Necesito saber más del ejecutable para poder aconsejarte... si puedes adjuntar una captura de las secciones del PE vistas con LordPE o algún otro software editor de PE como CFF explorer...

caramel0rar0 · 5 Enero 2012, 14:16 PM

Uff.... ya me rendí. He estado mirando con todos los AV y todos (prácticamente todos) borran todos los archivos, así que lo dejé....

Ya miraré si modifico más alante, por ahora lo dejo un par de días por lo menos. xD

Gracias por la ayuda, Karkrak.

Test Foro de elhacker.net SMF 2.1

Duda para modificar un crypter

caramel0rar0

Karcrack

caramel0rar0

Karcrack

caramel0rar0