Indetectando AVIRA

Iniciado por |Apeiron|, 16 Julio 2011, 07:23 AM

0 Miembros y 1 Visitante están viendo este tema.

|Apeiron|

Buenos dias, me he iniciado en esto hace nada y para practicar pues he dicho...voy a indetectar un stub y he empezado por el avira.Resulta que al pasar el avfucker me salen varios offsets ( si digo alguna palabra que no es correcta, o digo alguna barbaridad perdonarme  ;D ).Tengo de 4420-4422 ; 5306-5308 ; 12564-12576. No se si estoy en lo cierto corregirme si me equivoco pero son 3 firmas. En la primera me sale esto ..@ , en la segunda firma .@.~ y la tercera RtlMoveMemory.

Me he dispuesto a modificar las firmas, tal y como tengo entendido por lo que me he documentado, canviando el orden de los 2 valores hexadecimales bastaria. Lo he hecho en la 1 firma...en los 3 offsets,cuando modifico uno de los 3 primeros no se detecta pero no conecta,cosa que no entiendo por que de modificar una de esas 3 offsets que yo diria que es el @, deberian de quedar otra dos y el avira tendria que saltar ademas de conectar.

Desisti de la 1 firma y fui a la 2, en este vi este caracter ~ y pense uy,feo,canvie los valores hexadecimales,y seguia siendo detectado y pense , esto es bueno...probe el servidor pero no conecta tampoco.Desisti de la 2 firma y me fui a la 3...y me encontre con RtlMoveMemory... ;-) . Alguien me puede hechar una mano...corregirme en lo que haga mal o algo?. San Google no me ha ayudado mas y al final me he visto obligado a utilizar mi primer post para esto xD . Quizas alguien piense que tengo algo mal configurado y no me conecto a mi mismo por algun error de configuracion,pero un servidor sin pasarle el crypter a pelo me autoinfecto perfectamente.

Gracias de antemano y perdonar mi ignorancia... :P

SuperDraco

#1
Cita de: |Apeiron| en 16 Julio 2011, 07:23 AM
canviando el orden de los 2 valores hexadecimales bastaria. Lo he hecho en la 1 firma...en los 3 offsets,cuando modifico uno de los 3 primeros no se detecta pero no conecta,cosa que no entiendo.

Esto que te voy a decir lo aprendí de otra persona del foro, no se si fue de Zero, o de quien, pero te lo digo igual:

Al cambiar un valor con el editor hexadecimal, estás cambiando una función del archivo cifrado, y esa función obviamente ya no fucvionará como debería.

Quizás has tenido mala suerte y has cambiado la funcion en la que debería conectarse, o la de descompilarse bien para luego conectarse, o vete a saber.

Eso es lo malo que tiene quitar firmas por el método de los offsets, las posibilidades de éxito varian bastante.

Mala suerte, deja el valor como estaba, y prueba con los otros 2, o prueba con ollydbg, es como se debe hacer.
No he vuelto, solo estoy de paso.

[Zero]

Exacto, esas modificaciones que algunos hacéis con el editor hexadecimal es una tremenda gilipollez. Al cambiar los opcodes cambiais las instrucciones, que si los cambiais por valores cercanos (sumandole uno o restandole uno) puede funcionar (alomejor el 1% de las veces xD) de tremenda casualidad. La forma correcta de hacerlo es aprendiendo ASM y sustituyendo ese trozo de código por uno equivalente y diferente, usando Olly.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

|Apeiron|

 :o :o No tengo ni idea sobre Olly, mañana que tengo un rato libre hablare con Google a ver que me cuenta sobre ASM y Olly. ;D . Graciaaaas!  :P

kisk

Zero tiene toda la razon es mucho mejor modear con olly ademas amigo comenzaste con el av equivocado avira no es tan facil de quitar
deberias comenzar con otro mas sencillo
Saludos
La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)

The Swash

Revisar las rutinas de las detecciones con OllyDBG sería lo más prudente antes de hacer cambios, y con respecto a la tecera firma puedes quitarla moviendo RtlMoveMemory a otro sector, y quizá para eso necesites leer algunos documentos sobre el Formato PE.

Un saludo.

|Apeiron|

Gracias por responder, he mirado en google y tal y he llegado a esta conclusion con el Olly, rectificarme si me equivoco porfavor  :P

1-Utilizo topo
2-Abro el stub con olly
3-Busco una firma y me lleva hasta a ella, como ocupa 3 offsets copio en binario las tres
4-las pego en el hueco de memoria que nos crea topo y hago un salto desde la 1 offset a la 1 linea de la memoria que pegue, para finalizar hago otro salto desde la 3 linea de memoria de topo a la 3 offset.

Lo que no me queda muy claro son los jumps...el 1 si, lo hago desde la 1 offset pero el de vuelta el jump es desde la 3 linea de memoria que pegue...o desde la siguiente NOP que no hay nada a la 3 offset o a la offset siguiente que ya no es firma :-\

Disculpar las molestias   :rolleyes:

SuperDraco

Me acoplo un poco si me lo permitiis...  :rolleyes: Yo también quiero aprender a usar Olly para los stubs...

¿Que es topo? ¿Puedes darme un link de eso? ¿Estás siguiendo algún tutorial? ¿Otro link para el tutorial porfavor  :xD?

saludossss

PD: y ánimo.
No he vuelto, solo estoy de paso.

Queta

"Intenta no volverte un hombre de éxito, sino volverte un hombre de valor." Albert Einstein.

|Apeiron|

Muy completo el manual Queta, gracias. Yo por mi parte encontre este que esta mas simplificado y enfocado en indetectar el stub.

http://www.megaupload.com/?d=E5DE4RTZ

Pass:http://www.octalh.mx.gs