Como estan gente, le comento que empece mi crypter con muy buenos resultados hasta que el NOD se interpuso en mi camino.
Estoy desesperado ya probe de todo y me lo sigue detectando como injector, investigando note que esta linea de codigo es la que hace
saltar el antivirus:
Injec file, StrConv(Archivo, vbFromUnicode), vbNullString
probe ofuscandola un poco etc pero siempre lo mismo...
Que me recomiendan?
Desde ya muchas gracias!
Probaste con la tool de K-OZ la Massive y probaste en la PE Offset Iniciar 200 Offser Final 800
rellena con 00, 2E, 90 , 01 , 9D , 40 ETC pero ese trabajo de la hace la tool massive si te quedan offset funcionales y los las conbinaicones que te dije anteriormente son para rellenar por que algunas veses rellenas con 00 quedan 20 offset que no detecta el av pero si pones 01 quedan 25 me entiendes comenta aver :D
rellena con 00, 2E, 90 , 01 , 9D , 40 ETC pero ese trabajo de la hace la tool massive si te quedan offset funcionales y los las conbinaicones que te dije anteriormente son para rellenar por que algunas veses rellenas con 00 quedan 20 offset que no detecta el av pero si pones 01 quedan 25 me entiendes comenta aver :D
3L-BUHO si lo posteo en esta Seccion simplemente es porque dice como sacarlo desde el source...Para nod32 encripta las strings con mas de tres encriptaciones Del RunPE
Salu2....
Salu2....
Exactamente, lo que busco es sacarlo desde el source, Ahora el RunPE no me lo detecta el antivirus, el problema es la linea en la que hago
la llamada al RunPE, justo acabo de ver que otro usuario posteo una alternativa a esa linea de codigo.
Este es el post: viewtopic.php?f=13&t=26007
Voy a probarlo y les cuento!
Gracias!!!!
la llamada al RunPE, justo acabo de ver que otro usuario posteo una alternativa a esa linea de codigo.
Este es el post: viewtopic.php?f=13&t=26007
Voy a probarlo y les cuento!
Gracias!!!!
Bueno, les cuento...
Estuve tratando de implementar lo que dice en ese post pero no me funciono, alguien me podria dar una explicacion rapida de como aplicarlo?
Se los agradeceria mucho!
aca va el code:
Estuve tratando de implementar lo que dice en ese post pero no me funciono, alguien me podria dar una explicacion rapida de como aplicarlo?
Se los agradeceria mucho!
aca va el code:
Código: Seleccionar todo
Option Explicit
Private Const FROM_UNICODE = &H80
Private Const TO_UNICODE = &H40
Private Const STRING_CODE As String = "Indetectables_KainRazor"
Private Sub Form_Load()
Dim vCode() As Byte
Dim nCode As String
'vCode() = StrConv(STRING_CODE, FROM_UNICODE, 0)
vCode() = StrToBytArray(STRING_CODE)
nCode = StrConv(vCode(), TO_UNICODE, 0)
Debug.Print "UNICODE: " & STRING_CODE
Debug.Print "TO BYTE_ARRAY: " _
; vCode()
Debug.Print "TO UNICODE: " & nCode
End Sub
' Función programada por Cobein
Public Function StrToBytArray(ByVal sStr As String) As Byte()
Dim i As Long
Dim Buffer() As Byte
ReDim Buffer(Len(sStr) - 1)
For i = 1 To Len(sStr)
Buffer(i - 1) = Asc(Mid(sStr, i, 1))
Next i
StrToBytArray = Buffer
End Function
Nod me salto ahi hace poco en un crypter mio. Pero la verdad la deteccion no esta ahi, sino en la funcion injec(en tu caso) del runpe.
Aplicale unos gotos. Y encripta strings.
Aplicale unos gotos. Y encripta strings.
Alguien podria comentar un poco ese codigo? necesito saber como aplicarlo para reemplazar la conversion de la String de Unicode a un ByteArray en esta linea
Call Injec(file, StrConv(Archivo, vbFromUnicode), vbNullString)
Muchas gracias!
Call Injec(file, StrConv(Archivo, vbFromUnicode), vbNullString)
Muchas gracias!
Otra vez... te estoy diciendo que engaña, realmente no esta ahi la firma...
Te cuento, ya probe encriptar strings, poner gotos pero igual lo detecta, lo unico que cambio es que antes me lo detectaba como Injector.AQS y ahora Injector.BHF
incluso si saco el RunPE me lo detecta.
Solamente no salta cuando borro esa linea, asi que la heuristica debe estar detectando precisamente esa linea de codigo.
Me gustaria probar alguna manera alternativa de aplicar esa linea de codigo, si alguien es tan amable y me puede dar una ayudita con eso se los voy a agradecer :)
Voy a seguir probando cosas y los mantengo informados...
Gracias!
incluso si saco el RunPE me lo detecta.
Solamente no salta cuando borro esa linea, asi que la heuristica debe estar detectando precisamente esa linea de codigo.
Me gustaria probar alguna manera alternativa de aplicar esa linea de codigo, si alguien es tan amable y me puede dar una ayudita con eso se los voy a agradecer :)
Voy a seguir probando cosas y los mantengo informados...
Gracias!
No es la línea de la inyección lo que detecta, sino que detecta directamente la inyección. Se da cuenta que se está usando ese code del RunPE, asi que necesitás modificar el RunPE.
Lo que te dice rudeboy es correcto, encriptá las API's con un CallAPIByName, si podés modificá los bucles, crea funciones falsas, o sea, hace saltar al programa de función en función sin que se modifique realmente, modificalo por todos lados al RunPE y te vas a dar cuenta que indetectar al Nod32 es muy fácil.
Cada cambio de nombre en la detección es una firma más/menos en el RunPE.
Lo que te dice rudeboy es correcto, encriptá las API's con un CallAPIByName, si podés modificá los bucles, crea funciones falsas, o sea, hace saltar al programa de función en función sin que se modifique realmente, modificalo por todos lados al RunPE y te vas a dar cuenta que indetectar al Nod32 es muy fácil.
Cada cambio de nombre en la detección es una firma más/menos en el RunPE.
Dei:
Bueno como veo que tenes problemas, te dejo 3 herramientas Especiales para hacer lo que vos queres.
- KPC v2.1
- Source Undetector (loyalist)
- Source Undetector 0.1
Con esto te vas a reir de Nod32 Saludos
Descarga:
[Enlace externo eliminado para invitados]
Pass: ayudita
Bueno como veo que tenes problemas, te dejo 3 herramientas Especiales para hacer lo que vos queres.
- KPC v2.1
- Source Undetector (loyalist)
- Source Undetector 0.1
Con esto te vas a reir de Nod32 Saludos
Descarga:
[Enlace externo eliminado para invitados]
Pass: ayudita
Ya lo solucione, pueden cerrar el post, gracias a KainRazor por la ayuda proporcionada!
Saludos!
Saludos!
