Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - paciente!!

#1
Cita de: seba123neo en 18 Agosto 2009, 04:28 AM
que necesidad de revivir un post de 7 meses...

Saludos Amig@s!!

Hace mucho tiempo que no posteo nada, pero sigo entrando a diario.

Mi duda es también sobre este tema de poder ejecutar un archivo en una carpeta remota  en red local.

He probado con "net use" y "at" y siempre me dice "acceso denegado". Debe haber alguna forma que yo no haya sido capaz de leer todavía.

Al final Rudy21 lo logró??  Que nos diga algo, porque me van a estallar los ojos de tanto leer.

Saludos paciente!!
#2
Cita de: ari-slash en  5 Abril 2009, 04:50 AM
ola a todos


miren este post..

para los que usen nod32 y le caduque

http://foro.elhacker.net/seguridad/nod32_actualizaciones_gratis-t248402.0.html


salu2


Gracias tio, buen aporte.

Saludos paciente!!
#3
Ok, tomaré buena nota.

Gracias por contestar y un saludo paciente!!
#4
Cita de: karmany en 11 Marzo 2009, 18:55 PM
los que no estamos acostumbrados o no utilizamos esos programas sea más complejo entender exactamente lo que estás haciendo.

?????
Saludos karmany. No he entedido lo que me quieres decir.
Me explico:
¿qué programas usas tu? Haber si yo estoy usando una basura....
Yo estoy utilizando rdg tejon, como había dicho shaddy había salido nuevo e indetectable a los avs y a mi se me ocurrió usar el método rit y xor para usarlo para mi, osea, modificar el stub que trae para hacer indetectables mis servers.

Pero el porblema que me encontraba era que me decía que el entry point estaba fuera del código, que ahora comprendo que es normal, pero lo que ahora me pasa ya no lo veo tan normal, y es que resulta que tengo cierto problema con los huecos que me ha creado topo. Me explico mejor.

Tras usar topo, me crea los huecos, y ahora kav me detecta código malicioso en esos huecos, que como comprenderás no tienen código. Solo aparece NOP´s, entonces si no tiene código ¿Cómo hago para ejecutar método rit o xor?
Como no me aparece MOV.... ni XOR BYTE.... ni ADD BYTE PTR... solo me aparece NOP´s. cuando  doy a "view image in cpu dump" se me va a los huecos de topo, y ahí no hay código para modificar con los métodos rit o xor. Entoces kav siempre me lo va a detectar... Porque no se como hacer para que donde me lo detecta no lo haga.

Los comentarios anteriores olvidalos porque se que olly me va a decir que el ep está fuera del código, ya que es normal, pero que en esos huecos me dectecte código malicioso, y no haya nada no lo entiendo o soy muy torpe o hay alguna manera de modificar el hexadecimal que aun no he leido para comprender.

Mil gracias por estar ahí compañero.

Saludos pacientes!!
#5
Cita de: tena en  9 Marzo 2009, 17:24 PM
Es que si le creas una sección con topo y redirijis el entrypoint, en el oly te va a salir ese mensaje porque ahora tenes el ep en esa nueva sección y no en la sección de codigo.

slds

Eso que me dices lo tengo más que asumido, es más, debe ser así. Si digo esto es porque me pasa con el stub de un cripter, no con el server directamente. Con el server hago lo mismo y no da ese error. Pillas la idea??
Con lo que llevo hasta ahora llego a la conclusión de que está compilado con VB 6.0, cosa que el server no, por eso no da error.  ;)

Me gustaría saber si puedo descompilar el stub de tejon, para hacerlo indetectable a KAV para despues poder usar el stub y cifrar mis servers.

Shaddy y Karmany, echadme una mano, please!!
#7
Saludos a todos.
He puesto este título al tema porque seguro que hay más de uno con este problema y busca la solución escribiendo esto.
Este mensaje lo da Olly.
Me explico mejor y paso a paso porque es lo que me pasa a mi. Haber si alguien me puede ayudar.
Resulta que estoy trabajando con el stub de Tejón. Y lo que quiero es aplicarle el método xor ya que es detectado por KAV. Hasta ahí bien, no??
Bueno pues según este método, abro olly para ver el entrypoint, luego abri el stub con topo para crear los huecos y posteriormente tengo que abrirlo de nuevo con olly para poder seguir. Y es ahí donde me sale este error. Me dice que el entrypoint está fuera del código.
He buscado y leido por todos sitios y llego a la conclusion de que el stub "puede" estar comprimido. He intentado descomprimirlo con UPX, pero me dice que no está comprimido con éste.
También he leido muchísimo más y a veces este mensaje sale por otros motivos, por ejemplo, el OEP (ni idea de como encontrarlo para modificarlo).
Si lo que pasa a mi le ha ocurrido a alguien más y sabe la solución, que puede ser otra diferente a lo que yo considero, que por favor me ayude porque llevo varios días estancado aquí.
Antes de modificar el stub me funcionaba bien, pero cuando hacía lo anterior cascaba. Pero bien cascado...

PD: el metodo rit y xor los entiendo a la perfección. He ido viendo paso a paso con Olly y se que funciona bien, pero por este error mi ejecutable no funciona.

Gracias anticipadas por contestar.
Saludos pacientes!!
#8
Ingeniería Inversa / Re: Problema en Ollydbg
9 Marzo 2009, 12:23 PM
Cita de: tena en  9 Marzo 2009, 01:25 AM
Hola, te aconsejo que hagas un hilo diferente a este, este se llama "Problema con Ollydbg"

¿Y antes de encriptarlo te anda?

slds

Gracias por responderme.

Funciona perfectamente. El caso es que KAV ya lo detecta y quería hacerle al stub el metodo xor para poder seguir trabajando sobre los nuevos servers creados, pero me cascan. Se que el problema está en olly porque no me reconoce el entrypoint al tocarlo con topo. Por eso que lo escribí aquí. Crees que debería hacer un nuevo tema??
He leido bastante por toda la red y lo único que saco en claro es que el stub está comprimido, pero no en upx.
Por favor, ayudenme.

Saludos pacientes!!
#9
Ingeniería Inversa / Re: Problema en Ollydbg
9 Marzo 2009, 00:44 AM
Salduos a todos!!
Haber si alguien me puede ayudar porque llevo varios dias con esto y me tiene desquiciado. No encuentro una explicacion razonable para mi, claro, de lo que pasa.
Estoy trabajando con el STUB de Tejon y quiero hacer el método xor. Los pasos que he seguido son:
1º. olly y miro el entrypoint
2º. topo.
3º. cuando abro olly me dice : "module 'stub' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifyint. Please keep it in mind wen setting breakpoints!!"
4º. sigo con el proceso hasta el final.

Me queda indetectable a KAV pero cuando cifro el server y lo ejecuto me casca como... pero vamos.... se que el error está en el paso 2º. He mirado que el stub está comprimido pero no precisamente con con UPX. Estoy mareado de tanto leer y no consigo salir de aqui. En un video que vi por ahí, vi como hacían lo mismo que yo pero no daba error en el 2º paso. ¿Cómo puedo salir de ahí?

Shaddy y Karmany, ayudadme por favor. Bueno, y el que quiera..  :laugh:
#10
El caso es que el pc es de un amigo, se le olvidó la pass de admin y me pidió ayuda. Quise entrar con una live cd pero no podía de ninguna manera arrancar desde el cd ni del usb. Entré en la bios y no me dejaba modificar para arrancar por alguno de ellos. Encima va el tio y le pone contraseña a la bios también. Por eso te digo, que no se de alguna forma para acceder sin antes formatear. Y claro, no queremos abrirlo porque tiene 2 meses y medio.... En fin, un desastre.