Gracias ^DeMoN^ ! Yo sigo buscando y no encuentro nada, quizas con linea de comandos se pueda añadir...tambien estoy mirando. Si alguien encuentra algo porfavor que lo comparta!!! Saludos! 
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#11
Análisis y Diseño de Malware / Re: Añadir excepcion desde el Registro ?
8 Septiembre 2011, 00:28 AM #12
Análisis y Diseño de Malware / Re: Añadir excepcion desde el Registro ?
6 Septiembre 2011, 04:54 AM
Nadie conoce algo sobre el tema 
#13
Análisis y Diseño de Malware / Añadir excepcion desde el Registro ?
29 Agosto 2011, 05:54 AM
He leido por ahi que se puede añadir una excepcion al antivirus mediante el registro de windows, pero no he encontrado nada en claro...solo habladurias.He investigado por el registro a ver si encontraba algo que lo verificase pero nada. Alguien sabe si esto es posible y como se haria?
#14
Análisis y Diseño de Malware / Re: Indetectando AVIRA
18 Julio 2011, 15:46 PM
Muy completo el manual Queta, gracias. Yo por mi parte encontre este que esta mas simplificado y enfocado en indetectar el stub.
http://www.megaupload.com/?d=E5DE4RTZ
Pass:http://www.octalh.mx.gs
http://www.megaupload.com/?d=E5DE4RTZ
Pass:http://www.octalh.mx.gs
#15
Análisis y Diseño de Malware / Re: Indetectando AVIRA
17 Julio 2011, 21:53 PM
Gracias por responder, he mirado en google y tal y he llegado a esta conclusion con el Olly, rectificarme si me equivoco porfavor 
1-Utilizo topo
2-Abro el stub con olly
3-Busco una firma y me lleva hasta a ella, como ocupa 3 offsets copio en binario las tres
4-las pego en el hueco de memoria que nos crea topo y hago un salto desde la 1 offset a la 1 linea de la memoria que pegue, para finalizar hago otro salto desde la 3 linea de memoria de topo a la 3 offset.
Lo que no me queda muy claro son los jumps...el 1 si, lo hago desde la 1 offset pero el de vuelta el jump es desde la 3 linea de memoria que pegue...o desde la siguiente NOP que no hay nada a la 3 offset o a la offset siguiente que ya no es firma![:-\](https://forum.elhacker.net/Smileys/navidad/undecided.gif ":-\")
Disculpar las molestias
1-Utilizo topo
2-Abro el stub con olly
3-Busco una firma y me lleva hasta a ella, como ocupa 3 offsets copio en binario las tres
4-las pego en el hueco de memoria que nos crea topo y hago un salto desde la 1 offset a la 1 linea de la memoria que pegue, para finalizar hago otro salto desde la 3 linea de memoria de topo a la 3 offset.
Lo que no me queda muy claro son los jumps...el 1 si, lo hago desde la 1 offset pero el de vuelta el jump es desde la 3 linea de memoria que pegue...o desde la siguiente NOP que no hay nada a la 3 offset o a la offset siguiente que ya no es firma
Disculpar las molestias
#16
Análisis y Diseño de Malware / Re: Indetectando AVIRA
16 Julio 2011, 16:35 PM
No tengo ni idea sobre Olly, mañana que tengo un rato libre hablare con Google a ver que me cuenta sobre ASM y Olly. 
. Graciaaaas!
#17
Análisis y Diseño de Malware / Indetectando AVIRA
16 Julio 2011, 07:23 AM
Buenos dias, me he iniciado en esto hace nada y para practicar pues he dicho...voy a indetectar un stub y he empezado por el avira.Resulta que al pasar el avfucker me salen varios offsets ( si digo alguna palabra que no es correcta, o digo alguna barbaridad perdonarme ).Tengo de 4420-4422 ; 5306-5308 ; 12564-12576. No se si estoy en lo cierto corregirme si me equivoco pero son 3 firmas. En la primera me sale esto ..@ , en la segunda firma .@.~ y la tercera RtlMoveMemory.
Me he dispuesto a modificar las firmas, tal y como tengo entendido por lo que me he documentado, canviando el orden de los 2 valores hexadecimales bastaria. Lo he hecho en la 1 firma...en los 3 offsets,cuando modifico uno de los 3 primeros no se detecta pero no conecta,cosa que no entiendo por que de modificar una de esas 3 offsets que yo diria que es el @, deberian de quedar otra dos y el avira tendria que saltar ademas de conectar.
Desisti de la 1 firma y fui a la 2, en este vi este caracter ~ y pense uy,feo,canvie los valores hexadecimales,y seguia siendo detectado y pense , esto es bueno...probe el servidor pero no conecta tampoco.Desisti de la 2 firma y me fui a la 3...y me encontre con RtlMoveMemory...
. Alguien me puede hechar una mano...corregirme en lo que haga mal o algo?. San Google no me ha ayudado mas y al final me he visto obligado a utilizar mi primer post para esto xD . Quizas alguien piense que tengo algo mal configurado y no me conecto a mi mismo por algun error de configuracion,pero un servidor sin pasarle el crypter a pelo me autoinfecto perfectamente.
Gracias de antemano y perdonar mi ignorancia...
).Tengo de 4420-4422 ; 5306-5308 ; 12564-12576. No se si estoy en lo cierto corregirme si me equivoco pero son 3 firmas. En la primera me sale esto ..@ , en la segunda firma .@.~ y la tercera RtlMoveMemory. Me he dispuesto a modificar las firmas, tal y como tengo entendido por lo que me he documentado, canviando el orden de los 2 valores hexadecimales bastaria. Lo he hecho en la 1 firma...en los 3 offsets,cuando modifico uno de los 3 primeros no se detecta pero no conecta,cosa que no entiendo por que de modificar una de esas 3 offsets que yo diria que es el @, deberian de quedar otra dos y el avira tendria que saltar ademas de conectar.
Desisti de la 1 firma y fui a la 2, en este vi este caracter ~ y pense uy,feo,canvie los valores hexadecimales,y seguia siendo detectado y pense , esto es bueno...probe el servidor pero no conecta tampoco.Desisti de la 2 firma y me fui a la 3...y me encontre con RtlMoveMemory...
. Alguien me puede hechar una mano...corregirme en lo que haga mal o algo?. San Google no me ha ayudado mas y al final me he visto obligado a utilizar mi primer post para esto xD . Quizas alguien piense que tengo algo mal configurado y no me conecto a mi mismo por algun error de configuracion,pero un servidor sin pasarle el crypter a pelo me autoinfecto perfectamente.Gracias de antemano y perdonar mi ignorancia...