[Propuesta] Offset's Detector...

Iniciado por Mad Antrax, 16 Mayo 2007, 20:58 PM

0 Miembros y 1 Visitante están viendo este tema.

¿Que os parece la propuesta?

No he entendido el proyecto
1 (7.1%)
No le veo utilidad
2 (14.3%)
Demasiado complicado, se quedará a medias...
3 (21.4%)
Ok, me apunto al proyecto!!
8 (57.1%)

Total de votos: 14

Votación cerrada: 31 Mayo 2007, 20:59 PM

nhaalclkiemr

CitarEl problema: independientemente del offset hasta las instrucciones consideradas como maliciosas, ciertos AVs no miran el offset si no, si contiene una serie de instrucciones independientemente de la localización de estas.

Eso es la heurística, no conseguireis nada modificando offsets para libraros de la heurística, para libraros de la heurística tendreis que ingienaroslas para saber que funcion del codigo es "sospechosa" para un AV y sustituirla por una alternativa


Este programa debería servir para detectar el offset que hace detectable al troyano, no para volverlo indetectable, una vez conocido el offset el resto lo tiene que hacer el user como mejor considere, aunke si k se puede añadir un editor hexadecimal...

y está claro que en ningun momento por mucho que partas no se puede modificar el contenido original...

Yo no se mucho de VB...pero weno...daré las ideas que pueda...

Lo que veo mas dificil en el proyecto y estaría muy bien es que el programa te analizase el automaticamente los archivos...o k los enviara al KIMS o Virustotal (siempre opcion voluntaria) para comprobar en cada caso...explico mejor mi idea:

-Primero analiza el archivo y guarda los resultados...lo parte en dos y analiza los dos...el k no sea detectado por el AV se desecha y el k sigue a ser detectado se vuelve a partir en 2, y así sucesivamente...cada vez un cachito (o varios) asta k al partir no sea detectado por nada...eso significa que acabas de partirlo al medio (los offset k son detectados) entonces vuelve a cojer un conjunto mas amplio y analiza, e intenta conseguir los offset que son detectados...

En vez de dos cachos se podría poner una opcion modificable...para poder elegir partir en vez de 2 por ejemplo 5 o en las partes que quieras...para acelerar el proceso...ademas así pruevas de varias maneras y mal será que si una vez lo partes en 2, otra en 3, otra en 5 y otra en 7 en alguna de ellas no partas el offset...

El problema es si parte en dos los offset que son detectados (es raro y puedes hacer lo k dije antes) Pues eso significa que donde partiste está el offset...y como sabes? Pues si al analizar las dos partes el AV no te detectará ninguna de las dos es k aí partiste el offset.


Saludos y suerte ;) ;)
StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%

[VolkS]

Cita de: ||MadAntrax|| en 17 Mayo 2007, 14:16 PM
Ummmm, yo he estado haciendo pruebas. He pillado mi cactus.dll 2.5 (que es detectado por casi todos los AV's) y he modificado el caracter 0x00 por un caracter aleatório: 0x34

Solo he modificado los 0x00 que no tenían ningun otro caracter al lado que sea distinto de 0x00 y he obtenido los siguientes resultados:

1) El EXE tiene el mismo tamaño, ni más ni menos bytes
2) El EXE ha quedado completamente funciona, no se ha "roto"
3) El EXE se ha vuelto indetectable para TODOS los AntiVirus, aqui el reporte:



Solo sigue siendo detectado por 2 AntiVirus, pero lo detectan como forma general (me imagino que por Heurística). Si sigo modificando un poco más, le añado NOP's se queda 100% indetctable en menos de 10 minutos. Lo malo que este proceso se tiene que hacer a mano, al menos yo no encuentro forma de programarlo :(

Haré pruebas con troyanos más famosos (bifrost, etc) a ver si consigo crear algún EXE protector "manual".

cambio el md5 del soft y listo.
tmb para evitar algunos av's, siempre podes entrar al las propiedades del proyecto cambiar la version y todo ese tipo de info y cambiar los Sub's de lugar.

PlagaX

#12
Buenos dias a todos. :)

||MadAntrax|| me temo que lo quieres hacer ya existe, en el Troya Tools v1.3 programado por Agamanya, existen por los menos tres programas que hacen lo que tu quieres y que son perfectamente funcionales, el primero de ellos es el ZignatureZero prgramado por Thor, el segundo es el AV Fucker programado por el Sr. Sombrero, y el tercero es Zenith AV programado por -=Hipnosis=-.

Cita de: BenRu en 16 Mayo 2007, 21:51 PM
La idea es buena, aunque está aplicacion ya existe, aunque está en una lengua muy rara (rumano, ruso, o algo asi)

BenRu:Si no me equivoco, la aplicación a la que haces referencia es el AV Devil 2 y el AV Devil 2.1 ambos Programados SEDDTO.

Ver imagen
http://img119.imageshack.us/my.php?image=troyatoolsue2.jpg

Ademas, el troya tools cuenta con muchas mas aplicaciones.

Ahora si quieres hacer un programa parecido, o esa es tu propuesta, lo puedes hacer.

Lo que si me pareceria relamente importante, es hacer un programa que pudiera hacer lo que en otro tiempo pasado hacia un programa que no me acuerdo como se llama, cuya funcion era la de "cantar" todos los offsets detectados por el Karpesky, seria fenomenal hacer un programa que haga exactamente lo mismo pero para varios antivirus.

Tambien seria igual de bueno pensar en si existiera la forma de ingresar a las bases de datos de las actualizaciones de los antivirus y de esa forma se podria contar con todos los offsets que detecta cada antivirus, para una aplicacion en particular.

Saludos   ;D

Suerte. :)

octalh

CitarNormalmente los archivos se parten con el olly (me lo enseñó octalh)

no se parten con olly eso nunca te lo dije, se partian con un editor HEX y con olly se hacen redirecciones de flujo para alterar las firmas.

se llama metodo RITes todo nada del otro mundo.

esa screenshot fue cuando hice unas pruebas con wollf pero desgraciadamente esta super atascado de firmas por todos lados.

acabe haciendo el rit en backdoors menos conocidas..

EL METODO ES 100% FUNCIONAL

salu2

Juza

Minha ideia para offset detector
Hack to Learn, Get Hacked to Learn More

Be Like The Puppet Master
http://img186.imageshack.us/img186/8987/powerofffcia0.jpg
Use FFC 1.7 Private Version

Juza

Minha ideia para offset detector

idea=http://img402.imageshack.us/img402/7693/avodog2.jpg


estou a fazer um (programa Offset Detector) usando esta idea ;D
Hack to Learn, Get Hacked to Learn More

Be Like The Puppet Master
http://img186.imageshack.us/img186/8987/powerofffcia0.jpg
Use FFC 1.7 Private Version