Duda para modificar un crypter

Iniciado por caramel0rar0, 4 Enero 2012, 21:21 PM

0 Miembros y 2 Visitantes están viendo este tema.

caramel0rar0

Pues estuve haciendo una mod a un crypter muy antiguo, y le quité el KAV, AVG, NIS... pero tengo un problema con algunos AVs como Panda, BitDefender o Avira, y es que al analizar los offsets el AV me detecta todas y entonces me los borra todos.

Mi pregunta es: ¿con qué método puedo modificar este crypter si tanto para RIT, hexadecimal, XOR.... necesito tener localizada la firma?

Espero ayuda, ya me desespero con esto....  :-[

Karcrack

No todas las detecciones son por firma... aveces son heuristicas... lo que significa que una combinación de factores hace que salte la alerta...

Que detecciones te da?

caramel0rar0

#2
Pues espera, voy a mirar ahora que detección me da.... Ya lo miré, y me da Gen:Trojan.Heur.VP2.jm3@a4zySMii y otras muchas Gen:Trojan.Heur.ZGY.5

Mientras aprobecho para preguntar tambien: ¿entonces para quitar estes AVs que método uso si para usar RIT, XOR o hexadecimal necesito saber cuales son las firmas?

Karcrack

Fíjate en el "Heur" de las detecciones... esto indica que es una detección heuristica...

Necesito saber más del ejecutable para poder aconsejarte... si puedes adjuntar una captura de las secciones del PE vistas con LordPE o algún otro software editor de PE como CFF explorer...

caramel0rar0

Uff.... ya me rendí. He estado mirando con todos los AV y todos (prácticamente todos) borran todos los archivos, así que lo dejé....

Ya miraré si modifico más alante, por ahora lo dejo un par de días por lo menos. xD

Gracias por la ayuda, Karkrak.