Problema con el stub de RDG Tejon Crypter

Iniciado por paciente!!, 9 Marzo 2009, 12:41 PM

0 Miembros y 1 Visitante están viendo este tema.

paciente!!

Saludos a todos.
He puesto este título al tema porque seguro que hay más de uno con este problema y busca la solución escribiendo esto.
Este mensaje lo da Olly.
Me explico mejor y paso a paso porque es lo que me pasa a mi. Haber si alguien me puede ayudar.
Resulta que estoy trabajando con el stub de Tejón. Y lo que quiero es aplicarle el método xor ya que es detectado por KAV. Hasta ahí bien, no??
Bueno pues según este método, abro olly para ver el entrypoint, luego abri el stub con topo para crear los huecos y posteriormente tengo que abrirlo de nuevo con olly para poder seguir. Y es ahí donde me sale este error. Me dice que el entrypoint está fuera del código.
He buscado y leido por todos sitios y llego a la conclusion de que el stub "puede" estar comprimido. He intentado descomprimirlo con UPX, pero me dice que no está comprimido con éste.
También he leido muchísimo más y a veces este mensaje sale por otros motivos, por ejemplo, el OEP (ni idea de como encontrarlo para modificarlo).
Si lo que pasa a mi le ha ocurrido a alguien más y sabe la solución, que puede ser otra diferente a lo que yo considero, que por favor me ayude porque llevo varios días estancado aquí.
Antes de modificar el stub me funcionaba bien, pero cuando hacía lo anterior cascaba. Pero bien cascado...

PD: el metodo rit y xor los entiendo a la perfección. He ido viendo paso a paso con Olly y se que funciona bien, pero por este error mi ejecutable no funciona.

Gracias anticipadas por contestar.
Saludos pacientes!!


tena

Es que si le creas una sección con topo y redirijis el entrypoint, en el oly te va a salir ese mensaje porque ahora tenes el ep en esa nueva sección y no en la sección de codigo.

slds

paciente!!

Cita de: tena en  9 Marzo 2009, 17:24 PM
Es que si le creas una sección con topo y redirijis el entrypoint, en el oly te va a salir ese mensaje porque ahora tenes el ep en esa nueva sección y no en la sección de codigo.

slds

Eso que me dices lo tengo más que asumido, es más, debe ser así. Si digo esto es porque me pasa con el stub de un cripter, no con el server directamente. Con el server hago lo mismo y no da ese error. Pillas la idea??
Con lo que llevo hasta ahora llego a la conclusión de que está compilado con VB 6.0, cosa que el server no, por eso no da error.  ;)

Me gustaría saber si puedo descompilar el stub de tejon, para hacerlo indetectable a KAV para despues poder usar el stub y cifrar mis servers.

Shaddy y Karmany, echadme una mano, please!!

karmany

Hola paciente!!

Bueno, yo creo que muchos de nosotros no entendemos exactamente el problema.

Tienes que especificar más los datos... ¿Qué quieres decir con stub del TEjón? ¿Que estás modificando el loader que viene por defecto? ¿Cuáles son los pasos exactos que estás haciendo?
El entrypoint fuera de código es absolutamente normal pero también puedes modificar ese dato en el PE header para que no muestre ese mensaje OllyDBG, esto lo ha explicado Shaddy en muchos tutes.

Si el stub está comprimido es posible que sea así y tengas que saber por qué lo ha comprimido el autor, aunque puedes intentar descomprimirlo.

Tienes que ser más explícito porque tal vez lo que tú hagas para ti sea muy fácil, pero para los que no estamos acostumbrados o no utilizamos esos programas sea más complejo entender exactamente lo que estás haciendo.ç

Un saludo

paciente!!

Cita de: karmany en 11 Marzo 2009, 18:55 PM
los que no estamos acostumbrados o no utilizamos esos programas sea más complejo entender exactamente lo que estás haciendo.

?????
Saludos karmany. No he entedido lo que me quieres decir.
Me explico:
¿qué programas usas tu? Haber si yo estoy usando una basura....
Yo estoy utilizando rdg tejon, como había dicho shaddy había salido nuevo e indetectable a los avs y a mi se me ocurrió usar el método rit y xor para usarlo para mi, osea, modificar el stub que trae para hacer indetectables mis servers.

Pero el porblema que me encontraba era que me decía que el entry point estaba fuera del código, que ahora comprendo que es normal, pero lo que ahora me pasa ya no lo veo tan normal, y es que resulta que tengo cierto problema con los huecos que me ha creado topo. Me explico mejor.

Tras usar topo, me crea los huecos, y ahora kav me detecta código malicioso en esos huecos, que como comprenderás no tienen código. Solo aparece NOP´s, entonces si no tiene código ¿Cómo hago para ejecutar método rit o xor?
Como no me aparece MOV.... ni XOR BYTE.... ni ADD BYTE PTR... solo me aparece NOP´s. cuando  doy a "view image in cpu dump" se me va a los huecos de topo, y ahí no hay código para modificar con los métodos rit o xor. Entoces kav siempre me lo va a detectar... Porque no se como hacer para que donde me lo detecta no lo haga.

Los comentarios anteriores olvidalos porque se que olly me va a decir que el ep está fuera del código, ya que es normal, pero que en esos huecos me dectecte código malicioso, y no haya nada no lo entiendo o soy muy torpe o hay alguna manera de modificar el hexadecimal que aun no he leido para comprender.

Mil gracias por estar ahí compañero.

Saludos pacientes!!

karmany

Vale...

Efectivamente acabo de probar una cosa:
-he utilizado RDG Tejón con un virus y 13 de 39 avs lo detectan
-he utilizado RDG Tejón con un programa sin virus y 13 de 39 antivirus detectan virus también.
-he analizado directamente el RDG Loader y efectivamente es el que es detectado.

Esto significa que el problema es como tú dices, en el stub. Le he echado un vistazo y modificarlo no es que sea cosa fácil y hay que saber qué es lo que es reconocido por el antivirus. Es posible que sea alguna API que hay muchísimas utilizadas o algún código pero es que está hecho en Visual Basic p-code...

Podrías intentar ver si es alguna API, esto lo puedes hacer modificando la IAT del stub y analizarlo y ver si es detectado; si borras una API y ya no reconoce virus ahí estará el problema. También foro.elhacker.net, creo que es en el subforo de "análisis y diseño de malware" alguien hizo un tutorial de cómo averiguar el código infectado, no recuerdo el título pero te puede orientar. El problema es que si haces un xor a todo el stub destruirás la IAT la IID y no funcionará porque no se cargarán las funciones necesarias. Lo mejor sería como tú has hecho crear nuevas secciones con topo pero saber exactamente qué es lo que el antivirus detecta como virus y encriptarlo.

Yo pienso que es algo complejo. Puedes probar también otros crypters o packers.
Ya sabes los desarrolladores de antivirus se mueven mucho por la red y cuando descubren una posible infección la evitan. Por ej. Tejón en su versión 0.3 no era detectado por ningún avs. Ahora yo pienso que los avs lo reconocen...

Un saludo

paciente!!

Ok, tomaré buena nota.

Gracias por contestar y un saludo paciente!!