Mensajes

[07 de abril de 2009 - Futura versión RDG Tejon Crypter 1.0]

07 de abril de 2009 - Futura versión RDG Tejon Crypter 1.0

Aunque a día de hoy no ha sido anunciada la nueva versión de RDG Tejon Crypter 1.0, podemos ver en su página Web que es posible que esta versión 1.0 salga en breve a la luz.
Aunque en este apartado de noticias intento ser lo más objetivo posible quiero mencionar que la versión 0.9 ganó muchísimo en estabilidad con respecto a sus antecesoras. RDG Max parece que dedica la mayor parte de su tiempo de programación, en actualizar esta valiosísima herramienta ya que en poco tiempo han salido varias nuevas versiones.

Las nuevas mejoras serán las siguiente:

Código [Seleccionar] Expandir

v1.0
+Process Suspended
+Process Killer
+Run Only in Admin Mode
+Cannot Run in safe Mode
+Anti-Tracing (Anti Craking)
+File Bundle
+Set File Atributes
+Anti Kaspersky (Kaspersky Bypass Proactive Defense)
+Binder
+Activex Registration
+Anti Heuristic Detection
+Stable

Su página Web es la siguiente:
http://rdgsoft.8k.com/Tejon.html

La versión 0.9 es posible descargarla del siguiente enlace:
RDG Tejon Crypter 0.9

PD. Avisaremos cuando se actualice a la versión 1.0

Edit: Aunque ya se ha actualizado, a partir de la versión 1.0 parecen ser únicamente de pago. Si aparece alguna versión pública lo comentaremos. La última versión pública (0.9) se puede descargar de aquí:
http://descargashack.blogspot.com/2009/02/rdg-tejon-crypter-07.html

[28-29 de marzo de 2009 - Nueva versión OllyDGB 2.0 beta 2]

28-29 de marzo de 2009 - Nueva versión OllyDGB 2.0 beta 2

Sale la segunda versión beta del debugger OllyDBG. A la versión beta1 todavía le faltaban muchas opciones como para poder usarla en Ingeniería Inversa. Veremos esta nueva beta2.

Lo nuevo según el autor:

Código (html4strict) [Seleccionar] Expandir

The second beta. I've planned that it will come with the more or less complete help file. Unfortunately, I had no time to write it. Therefore there will be also the third beta release... soon.
There are many - over 20 - bugfixes in the beta 2, some of them are really critical. As promised, there are no significant changes, with two exceptions. The recognition of UNICODE strings is vastly improved, they are no longer limited to ASCII subset (option "Use IsTextUnicode()". Also I recognize strings in the UTF-8 format. By the way, if you have some small sample program with the free source that uses UTF-8 strings, please send it to me (together with the screenshot of displayed strings) so that I will be able to test OllyDbg.
The second new feature is in the run trace. New option "Pause when EIP points to modified command" helps, for example, to find the real entry point of the SFX-ed code. Just don't forget to create backup first (or use another new option, Auto backup user code)!

Su página:
http://www.ollydbg.de/

[29 de marzo de 2009 - Nueva versión packer gratuito Tejon Crypter v.0.9]

29 de marzo de 2009 - Nueva versión packer gratuito Tejon Crypter v.0.9

Hoy mismo RDG Max nos presenta esta nueva versión. En poco tiempo hemos visto salir a la luz 3 versiones.
Según sus propias palabras:
"Hola amigos
Les dejo la nueva version.RDG Tejon Crypter v0.9 Public Version

Mas estable.. "

Hay bastantes mejoras respecto al anterior:

Código [Seleccionar] Expandir

+v0.9
+Process Suspend
+Anti-Tracing (Anti-Cracking)
+File Bundle (DLL Bundle + Register ActiveX/OLE/COM control)
+Stable
+Anti-Heuristic Detection
+Obfuscation of your executable helps protect it against tampering and cracking.

Su página web es la siguiente:
http://rdgsoft.8k.com/Tejon.html

Hay muchos programas que lo muestran.
Estos dos son muy conocidos y fiables:

http://www.rdgsoft.8k.com/

http://www.peid.info/

Ya he buscado y recordado cómo poder hacer ciertos cambios.

Conozco dos opciones y la segunda la ampliaré en mi tutorial de modificar recursos.

1- Yo he visto hacerlo mediante ILDasm en un primer momento desensamblando el código y posteriormente realizando los cambios y volviendo a "compilar" el código IL. Todo esto se hace mediante una ventana de comandos.

2-La segunda forma y muchísimo más sencilla y gráfica es mediante un plugin llamado Reflexil. Este plugin es utilizado con el programa NET Reflector por ej. y te permite modificar muchos cosas. Seguramente te preguntarás cómo utilizarlo... pues te pongo un link excelente que te ayudará:
Tutorial de Reflexil por Sequeyo

Para modificar ciertas cadenas de texto, puedes modificarlas con un editor hexadecimal teniendo en cuenta que no puedes variar el tamaño.

Un saludo

PD. Más información:
StrongNames y Reflexil por Sequeyo
Página web de Reflexil

Hola ELDORADOV8, bienvenido.

Te quiero comentar que este tema me interesó hace tiempo y recuerdo que encontré alguna herramienta al respecto pero lo dejé...

Bueno, no tires la toalla que seguro que encuentras alguna forma. Yo voy a recordar todo esto y cuando encuentre información te la respondo en este post.

Un saludo

[16 de marzo de 2009 - Nueva versión packer gratuito Tejon Crypter v.0.8]

16 de marzo de 2009 - Nueva versión packer gratuito Tejon Crypter v.0.8

Aunque Tejon Crypter v0.7 aumentó muchísimo en estabilidad, sobre todo modificando ciertas opciones, el autor RDG Max y a pocos días de haber salido ya una nueva versión(0.7), nos obsequia con esta nueva actualización. Sus mejoras son las siguientes:

Código [Seleccionar] Expandir

+v0.8
*process Killer (Multiple Process Killer)
*Cannot Run in Safe Mode
*Run Only in Admin Mode
*Set File Attributes

Fecha subida del archivo: 16 de marzo de 2009
Tamaño en web: 846595 bytes

RDG Tejon Crypter está teniendo mucho éxito sobre todo para hacer indetectables ciertos programas ante los antivirus e incluso ya tiene página web propia:
http://rdgsoft.8k.com/Tejon.html

26 de marzo de 2009 - Microsoft lanza nueva iniciativa anti-piratería para juegos online

[ 26/03/2009 - 09:34 CET ]

Microsoft ha presentado una serie de nuevas funciones para su iniciativa Games for Windows, orientadas a incrementar la facilidad de uso y combatir la piratería.

Diario Ti: Entre los mecanismos para reducir la piratería de juegos, Microsoft comenzará a validar la autenticidad del juego, requiriendo al usuario activarlo antes de comenzar a jugar en línea.

Facilita el intercambio comercial
Otras novedades incluyen soporte para tiendas online incorporadas en los juegos, que harán posible comprar nuevos contenidos directamente desde el interfaz del juego. Esta función es comparada, por ejemplo, con las soluciones de tienda en línea de Rock Band, Guitar Hero o Singstar, que ahora tendrán su versión para videojuegos con soporte para Games for Windows Live.

Finalmente, Microsoft anuncia una posibilidad práctica, que permitirá almacenar la configuración de los juegos y avances en el mismo en un servicio centralizado. De esa forma, el jugador podrá acceder a su juego desde cualquier PC conectado a Internet.

Servicio en expansión
Aunque Games for Windows Live tuvo un comienzo difícil, el servicio ha crecido considerablemente en el último tiempo, lo que se debe en parte al apoyo que ha recibido de grandes títulos como Fallout 3 y Dawn of War II.

Fuente: EDGE

Leido en: http://www.diarioti.com/gate/n.php?id=21806

Vale...

Efectivamente acabo de probar una cosa:
-he utilizado RDG Tejón con un virus y 13 de 39 avs lo detectan
-he utilizado RDG Tejón con un programa sin virus y 13 de 39 antivirus detectan virus también.
-he analizado directamente el RDG Loader y efectivamente es el que es detectado.

Esto significa que el problema es como tú dices, en el stub. Le he echado un vistazo y modificarlo no es que sea cosa fácil y hay que saber qué es lo que es reconocido por el antivirus. Es posible que sea alguna API que hay muchísimas utilizadas o algún código pero es que está hecho en Visual Basic p-code...

Podrías intentar ver si es alguna API, esto lo puedes hacer modificando la IAT del stub y analizarlo y ver si es detectado; si borras una API y ya no reconoce virus ahí estará el problema. También foro.elhacker.net, creo que es en el subforo de "análisis y diseño de malware" alguien hizo un tutorial de cómo averiguar el código infectado, no recuerdo el título pero te puede orientar. El problema es que si haces un xor a todo el stub destruirás la IAT la IID y no funcionará porque no se cargarán las funciones necesarias. Lo mejor sería como tú has hecho crear nuevas secciones con topo pero saber exactamente qué es lo que el antivirus detecta como virus y encriptarlo.

Yo pienso que es algo complejo. Puedes probar también otros crypters o packers.
Ya sabes los desarrolladores de antivirus se mueven mucho por la red y cuando descubren una posible infección la evitan. Por ej. Tejón en su versión 0.3 no era detectado por ningún avs. Ahora yo pienso que los avs lo reconocen...

Un saludo

Hola paciente!!

Bueno, yo creo que muchos de nosotros no entendemos exactamente el problema.

Tienes que especificar más los datos... ¿Qué quieres decir con stub del TEjón? ¿Que estás modificando el loader que viene por defecto? ¿Cuáles son los pasos exactos que estás haciendo?
El entrypoint fuera de código es absolutamente normal pero también puedes modificar ese dato en el PE header para que no muestre ese mensaje OllyDBG, esto lo ha explicado Shaddy en muchos tutes.

Si el stub está comprimido es posible que sea así y tengas que saber por qué lo ha comprimido el autor, aunque puedes intentar descomprimirlo.

Tienes que ser más explícito porque tal vez lo que tú hagas para ti sea muy fácil, pero para los que no estamos acostumbrados o no utilizamos esos programas sea más complejo entender exactamente lo que estás haciendo.ç

Un saludo

PUedes hacer dos cosas:
1- Buscar por la Web emuladores de Mochila y probar y probar a ver si alguna te da resultado. En links interesantes hay al final un enlace para una página de emuladores. Tienes que buscar...

2-La otra opción es que desempaques el programa. Desempacarlo puede resultar sencillo ya que tienes la mochila y simplemente tienes que poner la mochila y llegar al OEP del programa en cuestión y desempacarlo adecuadamente.

Si buscas en este foro sobre mochilas verás algunos enlaces que te pueden orientar.