modificar crypter

Iniciado por m0rr150n, 27 Marzo 2013, 06:14 AM

0 Miembros y 1 Visitante están viendo este tema.

m0rr150n

Hola a todos.

He estado trabajando en la modificacion de un crypter con el Signature Zero. Seleciono la pestaña mostrar firmas y al parecer detecta en que offsets estan ubicadas. Despues con el Hex Workshop ubico las firmas y las cambio por ceros. Al parecer y segun lo que he investigado con este metodo quedaria indetectable el crypter y con esto podria cifrar mi server.

La verdad ya estoy un poco desesperado, quiero entender como funciona un crypter.
Mi duda es si conocen algun otro metodo o talvez la forma en que lo estoy haciendo no es la correcta?. He querido hacer mi propio crypter pero la verdad no se por donde empezar talvez alguien conozca algun tutorial o informacion para poder construirlo?

Espero que me puedan ayudar, Saludos.
Conocimiento libre para todos!!!!

[Zero]

http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_asi_funcionan_los_crypters_cifrando_malware_a_mano-t262806.0.html

Algunos links están rotos, debería ser fácil encontrarlos, si tienes algún problema busco y trato de resubirlos.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

xivan25

Hola usa el Indetectables Offset Locator 2.6 por ejemplo y en la opción de acorralar firma ves acorralándola ajustándolo cada vez mas,una vez lo tengas al amximo ajustado,anotate los offsets que te dice el programa y haz AvFucker a 1000, 100, 10, 1 byte y escanea con el antivirus,seguro que te queda alguno funcional y indetectable.Tambien desde el código fuente modifica todas las variables sospechosas de tipo String como Encryptar,stub,trojan,etz...cambia el nombre de los modulos,no añadas código basura,con el Pe Editor abre el stub y en el import tabe/directories modifica el valor de 00028 a 00000 asi evitaras la firma suspicious de varios AV

ANARQUISTAD

esto no se diria moddear en hex porqque midificar crypter no lo veo muy apto