M4rtyr, es cierto lo detecta por heuristica. pero esto es para quitar firmas de la IID (que si las hay, el avira pone algunas veces firma ahi) no para saltar la heuristica.

si es detectado por heuristica y le haces esto lo seguira siendo. pero si es detectado por una firma aca funcionara.

y como ya dije pero no lo he probado, podria saltarse la heuristica poninendo la primera instruccion de la api (normalmente es mov ebp,esp para reservar la pila) y hacer la llamada asi:

mov ebp,esp
call [direccion_de_la_IAT + 2]

saldudos
//No estan permitidos los refer en este sitio.

SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
Viejo, algo asi es lo que estaba buscando, me puce hacer un crypter y ya echo el avira me detecta justo ese punto "writeprocessmemory" y ni con hexa ni con rit me lo saco. ahora bien, esas modificaciones se pueden hacer desde el source del stub en vb?

gracias por tu ayuda....
hola. disculpa la tardanza en responder, es que estoy trabajando y no me conecto casi. si te refieres a como guardar los cambios en el olly haces click secundario > copy to executable selection y te aparece otra ventana ahi haces click secundario > save file y lo guardas.

en lo del source, pues la verdad no se, tendrias que hacer las importaciones por ordinal, y no recuerdo como hacerlo. busca en google a ver.

saludos
//No estan permitidos los refer en este sitio.

SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
Bloodday es justo lo que buscaba tu metodo...sos un grande.
Pero tengo muchas dudas...soy un poco novato.
Por favor si me explicas unas cosas
Como haces para editar las apis y las IAT en el olly?
xq veo que a ti te queda bien...yo para editar le doy a binary>edit y me queda asi luego de editar
Imagen

Y guardo los cambios pero siempre se me rompe.
Otra cosa...siempre tiengo que intercambiar dos apis con la misma cantidad de caracteres? xq aveces no coinside con ninguna.

Y por ultimo. En el segundo metodo. dises
Hacemos click en la caja desplegable debajo de “Attach to an ActiveProcess” y buscamos nuestro troyano, stub, etc. Previamente abierto con el olly. Y hacemos click en IAT autosearch y nos buscara la IAT (si no la encuentra es por que esta empaquetado o el programa tiene trucos para esconderla, así que tendrán que buscarla manualmente obtener el comienzo y el tamaño) al encontrarla le damos a Get Imports. Luego hacemos click en options
Como se busca manualmente el comienzo y el tamaño de la IAT?

Y en el caso de que encuentre esos datos...en size se entiende que va el tamaño... en EOP el comienzo, y en RVA que va?
Perdon por tantas preguntas es que soy novato. Eh probado como varios stub y de las dos formas q explicas y nunca puedo dejar el stub funcional.
Última edición por n4t4s el 23 Oct 2009, 18:37, editado 1 vez en total.
Imagen
hola..! pense que este tuto habia quedado olvidado xD.

n4t4s creo que se me paso esa parte que puede causar lios xD vuando editas en el olly, te queda asi como tu has puesto la imagen, para verlo "bien" de nuevo, le das a ctrl + a o click secundario -> analisys -> analize code. (creo que era asi el menu contextual) y asi ves como queda.

si se rompe, seguro es por que no has cambiado aun alguna otra cosa (en la imagen, al parecer estas cambiando el orden de las apis para dejarla como estaban) o estas editando una IID que importa por ordinal.

pues yo tengo por ahi un pequeño tuto mio de como hacerlo, te lo paso por mp y si no entiendes, hay muchos en las paginas de cracking (para mi la mejor es la de crackslatinos, todo esta en [Enlace externo eliminado para invitados])

en OEP va el punto de entrada del programa, es decir el entri point, en este caso sera el mismo que ya tiene, que es donde para el programa no mas abrirlo con el olly.

y en rva va el comienzo de la IAT sin el image base (la direccion menos 400000 la mayoria de las veces)

no te preocupes por preguntar, simpre y cuando sean preguntas razonables y aca lo son.

si igual no puedes dejar el stub funcional, mandame un mp explicando los pasos que haces (si hay imagenes mejor) y te digo en que estas mal.

saludos
//No estan permitidos los refer en este sitio.

SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
Muchisimas gracias Bloodday
En la imagen edite cualquier cosa rapido, solo para q se entienda como me quedaba.
Te agradeseria si me pasaras tu tuto de como hacerlo por pribado si lo encuentras.
Comenzare a probar y si no puedo con algo te mando un privado.
Imagen
Muy bueno, se agradeceria un video de alguien que ya dominara este metodo

pd : eres un mounstruo
La felicidad es una cualidad evasiva. Si la buscas, no la encuentras.
Imagen
Responder

Volver a “Manuales y Tutoriales”