RX Crypter y Avira

duna50 · 1 Septiembre 2010, 16:07 PM

Intenro hacer indetectable un crypter, concretamente el RX crypter, para ello, modifico el stub y lo hago indetentable, lo raro es que cuando lo uno al crypter para modificarlo, me lo detecta el antivirus (el Avira).
¿Me podrían decir que hago mal?
Un saludo

[L]ord [R]NA · 1 Septiembre 2010, 16:57 PM

Cambia la rutina de cifrado del crypter.

[Zero] · 1 Septiembre 2010, 16:58 PM

No haces tú nada mal, seguramente sea el crypter el que hace algo mal (o no bien), lo más probable es que Avira (el paranoico) detecte con su heurística que se trata de un ejecutable cifrado, probablemente debido a algún valor del PE mal establecido.

Saludos

duna50 · 1 Septiembre 2010, 19:55 PM

Mis conocimientos son limitados, pero con el hex Workshop, he podido localizar el off set que detecta el Avira en el PE, pero no sé que hacer ahora.
P.D. Cuando le doy valor 00 a dicho off set, el crypter se me queda inservible.
Un saludo

[L]ord [R]NA · 1 Septiembre 2010, 20:15 PM

Es que no puedes dar el valor que quieras, debes de dar un valor que no altere el funcionamiento, si cambias algo y lo inutilizas es claro que el AV no lo detectara.

bizco · 1 Septiembre 2010, 22:43 PM

eso de que detecta un offset en la cabecera PE se tendria que mirar. yo creo que detecta que el punto de entrada esta fuera de la sección de codigo (cosa comun en packers etc). es mejor no usar packer alguno y hacer tu propia herramienta para asegurarte que no sera detectada.

Test Foro de elhacker.net SMF 2.1

RX Crypter y Avira

duna50

[L]ord [R]NA

[Zero]

duna50

[L]ord [R]NA

bizco