Bueno lo primero decir que nadie piense que con esto
se pueden hacer todos los troyanos indetectables y que funcionen,
pero si que dependera de a que antivirus queramos burlar, por
ejemplo kav toca partes delicadas del server, asi que modificarlas
es cargarselo, no siempre. Luego norton o mcafee eligen partes como
el titulo, el creador, vamos cosas menos importantes, pero bien aqui
aprenderemos a buscar al culpable de que los antivirus se alarmen.
OFFSET AL DESCUBIERTO
Bueno aquí una técnica algo engorrosa de buscar el offset designado
por kaspersky, he de recordad que existe el programa avp offset para
ello , no se si aun funcionara, pero este manual es para usarlo para
todos los antivirus....
Empezaremos por bajarnos un editor hexadecimal, yo uso el hex
workshop, eso a cada gusto de uno.Lo primero es una vez ejecutado el
hex, es ir a file y darle a open, bien ahora toca
buscar el server del troyano a retocar, una vez cargado nos
aparecerá todo el rollo alfanumérico, bien apreciamos los offset que
están numerados en hexadecimal, le damos a options y a
file offset y elegimos decimal, así tenemos mas claro los
offset enumerados....
Nos vamos hasta el final del archivo, con ctrl+fin, vemos
esto............
bueno al grano, porque señalo el 00030120?, porque nos dice
el total de offset que hay, vamos a dividir en dos, para ello
00030120 entre 2 nos da 00015060.
Vale vamonos al 00015060, como?, darle a control+g,
pon ese numero de offset y dale a beginning of file....
bien estamos en la mitad del archivo, vamos a llenar de ceros la
otra mitad osea desde 00015060 hasta el principio, sombrea
hasta llegar a 0000000, dale a control+ins, y le das a
ok, ahora todo lo sombreado esta a 0.......
vale, ahora hemos eliminado del nuke una mitad de datos al llenarla
de ceros, que pasa si guardo el archivo y kav me detecta el archivo
en cuestión?, nos indica que en la otra mitad la que si que tiene
datos, están los offset malignos jeje, me vais pillando la idea?.
Sigamos darle a file y a save as, ponerle u nombre
nuevo al guardarlo el exe, jaja no os carguéis el original.....
Pasamos el kav, ohhhh, no dice nada, y siempre me lo detectaba, vale
esto quiere decir que de 00000000 a 00015060, están
los offset malignos, cargar de nuevo el server, ahora a dividir
00015060 entre 2, toca sombrear de 0007530 a 0000000,
seguir el mismo ejemplo que antes pero esta vez sombrear desde
0007530 a 0000000.
Ahh el kav no dice nada, bien ya sabemos que entre 0000000 a
0007530 anda el juego, bien dividamos ese 0007530,
0003765 a 0000000, a llenar de ceros venga, vuelve a
cargar el original y llena de ceros......
Ah aun no lo detecta, sigamos cercando el asunto, a dividir
0003765 entre 2, 0001882 a 0000000, lo de siempre
repetir lo mismo....
Jajaja, mas de lo mismo, 00000941 a 000000000, ohh a
dividir 00000941 entre 2, que rollo eh?.
Siguiendo estos pasos llego a darme cuenta que 00000200 a
00000000 esta el offset, aquí se pone mas pesado este
procedimiento, yo voy de dos líneas en dos líneas rellanándolas de
ceros, hasta que llego a rellenar 00000140 y la 00000120,
oh aquí el antivirus no me detecta nada, dejo sola llena de ceros el
offset 00000120, vaya no detecta nada el kaspersky, toca ver
del offset 00000120 que parte es la que el antivirus eligió
para detectar este nuke...
ohh pone ahí algunas letras que forman la palabra pelo?, jaja, vamos
a ver que pasa si cambiamos una letra.
Si he marcado el numero 5045 y lo e cambiado el numero
5046, la e de pelo, es ahora una f lo veis donde lo e
señalado?....
Vale ahora mismo es indetectable, hay que ver que sea funcional,
primero diré que ni kav ni panda lo detectan, vaya panda usa el
mismo ofsset que kav, bien norton y mcafee no detectan nunca el
msnnuke, bien como hemos realizado un cambio en un offset o funciona
o nos cargamos el nuke, esto es así, entender que kav por ejemplo
elige offset clave de un server para si es modificado que el server
no funcione, norton elige las mayores paridas del programa como
offset a detectar.
Aclarar que esto es un ejemplo , alomejor es lioso lo que os digo,
pero pensar que es hacer un cerco al offset ir tapando de ceros unas
partes para que otras nos digan donde esta el offset, ir achicando
hasta dar con el, si es un método pesado, pero no deja de ser
método, y ami este método me dejo un bonito sub7 que aun hoy en
día, nadie detecta jajajaja.tendreis que probar y probar de cambiar
la parte elegida por el antivirus.
Bueno hay otras técnicas por este mundillo menos engorrosas, pero
así sabemos con seguridad porque el antivirus salta, todo es luego
hacer pruebas, tener en cuenta que pueden elegir mas de un offset.
By RK-JoSe17-X
0 comentarios:
Publicar un comentario