Re: Quitando firmas de la IID
Publicado: 19 Ago 2009, 22:59
exelente eres un maestro!
PD Metodo Oday
PD Metodo Oday
a ponerlo en practica
muchas gracias por compartir
Indetectables
Indetectables es una Comunidad de Hacking, Seguridad Informática, Impresión 3d y Desarrollo
./index.php
Quitando firmas de la IID
Página 2 de 2
Re: Quitando firmas de la IID
Publicado: 20 Ago 2009, 13:01
Re: Quitando firmas de la IID
Publicado: 20 Ago 2009, 15:48
M4rtyr, es cierto lo detecta por heuristica. pero esto es para quitar firmas de la IID (que si las hay, el avira pone algunas veces firma ahi) no para saltar la heuristica.
si es detectado por heuristica y le haces esto lo seguira siendo. pero si es detectado por una firma aca funcionara.
y como ya dije pero no lo he probado, podria saltarse la heuristica poninendo la primera instruccion de la api (normalmente es mov ebp,esp para reservar la pila) y hacer la llamada asi:
mov ebp,esp
call [direccion_de_la_IAT + 2]
saldudos
si es detectado por heuristica y le haces esto lo seguira siendo. pero si es detectado por una firma aca funcionara.
y como ya dije pero no lo he probado, podria saltarse la heuristica poninendo la primera instruccion de la api (normalmente es mov ebp,esp para reservar la pila) y hacer la llamada asi:
mov ebp,esp
call [direccion_de_la_IAT + 2]
saldudos
Re: Quitando firmas de la IID
Publicado: 21 Ago 2009, 00:01
buena idea , aunque yo se como saltarse la heuristica xDmov ebp,esp
call [direccion_de_la_IAT + 2]
un saludo
Re: Quitando firmas de la IID
Publicado: 04 Sep 2009, 13:07
Viejo, algo asi es lo que estaba buscando, me puce hacer un crypter y ya echo el avira me detecta justo ese punto "writeprocessmemory" y ni con hexa ni con rit me lo saco. ahora bien, esas modificaciones se pueden hacer desde el source del stub en vb?
gracias por tu ayuda....
gracias por tu ayuda....
Re: Quitando firmas de la IID
Publicado: 04 Sep 2009, 16:51
amigo una pregunta, el cambio como lo haces en el olly?
Re: Quitando firmas de la IID
Publicado: 09 Sep 2009, 16:07
hola. disculpa la tardanza en responder, es que estoy trabajando y no me conecto casi. si te refieres a como guardar los cambios en el olly haces click secundario > copy to executable selection y te aparece otra ventana ahi haces click secundario > save file y lo guardas.
en lo del source, pues la verdad no se, tendrias que hacer las importaciones por ordinal, y no recuerdo como hacerlo. busca en google a ver.
saludos
en lo del source, pues la verdad no se, tendrias que hacer las importaciones por ordinal, y no recuerdo como hacerlo. busca en google a ver.
saludos
Re: Quitando firmas de la IID
Publicado: 23 Oct 2009, 16:59
Bloodday es justo lo que buscaba tu metodo...sos un grande.
Pero tengo muchas dudas...soy un poco novato.
Por favor si me explicas unas cosas
Como haces para editar las apis y las IAT en el olly?
xq veo que a ti te queda bien...yo para editar le doy a binary>edit y me queda asi luego de editar
Y guardo los cambios pero siempre se me rompe.
Otra cosa...siempre tiengo que intercambiar dos apis con la misma cantidad de caracteres? xq aveces no coinside con ninguna.
Y por ultimo. En el segundo metodo. dises
Y en el caso de que encuentre esos datos...en size se entiende que va el tamaño... en EOP el comienzo, y en RVA que va?
Perdon por tantas preguntas es que soy novato. Eh probado como varios stub y de las dos formas q explicas y nunca puedo dejar el stub funcional.
Pero tengo muchas dudas...soy un poco novato.
Por favor si me explicas unas cosas
Como haces para editar las apis y las IAT en el olly?
xq veo que a ti te queda bien...yo para editar le doy a binary>edit y me queda asi luego de editar
Y guardo los cambios pero siempre se me rompe.
Otra cosa...siempre tiengo que intercambiar dos apis con la misma cantidad de caracteres? xq aveces no coinside con ninguna.
Y por ultimo. En el segundo metodo. dises
Como se busca manualmente el comienzo y el tamaño de la IAT?Hacemos click en la caja desplegable debajo de “Attach to an ActiveProcess” y buscamos nuestro troyano, stub, etc. Previamente abierto con el olly. Y hacemos click en IAT autosearch y nos buscara la IAT (si no la encuentra es por que esta empaquetado o el programa tiene trucos para esconderla, así que tendrán que buscarla manualmente obtener el comienzo y el tamaño) al encontrarla le damos a Get Imports. Luego hacemos click en options
Y en el caso de que encuentre esos datos...en size se entiende que va el tamaño... en EOP el comienzo, y en RVA que va?
Perdon por tantas preguntas es que soy novato. Eh probado como varios stub y de las dos formas q explicas y nunca puedo dejar el stub funcional.
Re: Quitando firmas de la IID
Publicado: 23 Oct 2009, 17:02
muy bueno asi fuckeamos mas avs :)
Re: Quitando firmas de la IID
Publicado: 23 Oct 2009, 21:23
hola..! pense que este tuto habia quedado olvidado xD.
n4t4s creo que se me paso esa parte que puede causar lios xD vuando editas en el olly, te queda asi como tu has puesto la imagen, para verlo "bien" de nuevo, le das a ctrl + a o click secundario -> analisys -> analize code. (creo que era asi el menu contextual) y asi ves como queda.
si se rompe, seguro es por que no has cambiado aun alguna otra cosa (en la imagen, al parecer estas cambiando el orden de las apis para dejarla como estaban) o estas editando una IID que importa por ordinal.
pues yo tengo por ahi un pequeño tuto mio de como hacerlo, te lo paso por mp y si no entiendes, hay muchos en las paginas de cracking (para mi la mejor es la de crackslatinos, todo esta en [Enlace externo eliminado para invitados])
en OEP va el punto de entrada del programa, es decir el entri point, en este caso sera el mismo que ya tiene, que es donde para el programa no mas abrirlo con el olly.
y en rva va el comienzo de la IAT sin el image base (la direccion menos 400000 la mayoria de las veces)
no te preocupes por preguntar, simpre y cuando sean preguntas razonables y aca lo son.
si igual no puedes dejar el stub funcional, mandame un mp explicando los pasos que haces (si hay imagenes mejor) y te digo en que estas mal.
saludos
n4t4s creo que se me paso esa parte que puede causar lios xD vuando editas en el olly, te queda asi como tu has puesto la imagen, para verlo "bien" de nuevo, le das a ctrl + a o click secundario -> analisys -> analize code. (creo que era asi el menu contextual) y asi ves como queda.
si se rompe, seguro es por que no has cambiado aun alguna otra cosa (en la imagen, al parecer estas cambiando el orden de las apis para dejarla como estaban) o estas editando una IID que importa por ordinal.
pues yo tengo por ahi un pequeño tuto mio de como hacerlo, te lo paso por mp y si no entiendes, hay muchos en las paginas de cracking (para mi la mejor es la de crackslatinos, todo esta en [Enlace externo eliminado para invitados])
en OEP va el punto de entrada del programa, es decir el entri point, en este caso sera el mismo que ya tiene, que es donde para el programa no mas abrirlo con el olly.
y en rva va el comienzo de la IAT sin el image base (la direccion menos 400000 la mayoria de las veces)
no te preocupes por preguntar, simpre y cuando sean preguntas razonables y aca lo son.
si igual no puedes dejar el stub funcional, mandame un mp explicando los pasos que haces (si hay imagenes mejor) y te digo en que estas mal.
saludos
Re: Quitando firmas de la IID
Publicado: 23 Oct 2009, 23:31
Muchisimas gracias Bloodday
En la imagen edite cualquier cosa rapido, solo para q se entienda como me quedaba.
Te agradeseria si me pasaras tu tuto de como hacerlo por pribado si lo encuentras.
Comenzare a probar y si no puedo con algo te mando un privado.
En la imagen edite cualquier cosa rapido, solo para q se entienda como me quedaba.
Te agradeseria si me pasaras tu tuto de como hacerlo por pribado si lo encuentras.
Comenzare a probar y si no puedo con algo te mando un privado.
Re: Quitando firmas de la IID
Publicado: 24 Oct 2009, 00:57
Muy bueno, se agradeceria un video de alguien que ya dominara este metodo
pd : eres un mounstruo
pd : eres un mounstruo
Re: Quitando firmas de la IID
Publicado: 22 Jul 2021, 19:39
me gusto este tutorial esta muy interesante se agradese mucho amigo
Publicado: 14 Oct 2021, 07:55
interesante este tutorial se agradese la lectura gracias