Indetectables

Muchas gracias m4rtyr pero no me ha funcionado ese código. Supongo que mov eax,401000 debe ser el entrypoint no? y debajo de Jnz debe de haber un jmp al entry original? porque yo lo he puesto y me da error. (y si no lo pongo también)

También eh probado la forma más simple de xor:

MOV EAX,0040198C
XOR BYTE PTR DS:[EAX],0E
JMP 004013E4

Y aunque no lo rompe, no burla al nod32.

el de 401000 solo es un ejemplo

y debajo de Jnz debe de haber un jmp al entry original

eso es si usted ha cambiado el entrypoint al codigo del Xor , y esto es muy detectado

bueno si quieres el codigo en tu caso es
mov eax,0040198C
mov ecx,0E (esto es los numeros de bytes de CreateProccessA en hex, son 15 bytes en hex son 0E)
xor byte ptr ds:[eax],11
inc eax
dec ecx
Jnz la direccion de byte ptr ds:[eax],11 ( por ejemplo si el xor byte ptr ds:[eax],11 esta en 405000 entonces Jnz 405000)
Jmp entrypoint

porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta
saludos

De nuevo muchas gracias por tu respuesta.

el de 401000 solo es un ejemplo

Si yo sé, mi pregunta es si se debía mover el entrypoint a esa funcion especifica del xor.

porfabor mandame ese stub o server lo quiero analyzar para ver nod32 como lo detecta

Tu código no es detectado (como si lo es el que yo puse) pero tampoco me esta funcionando, no se que hago mal pero te lo paso por mp.

¿Hay alguna manera de aplicar este método con las apis de msvbmv60.dll?? Muchas gracias.

Arregladas las imagenes :)

lord.of.da.flies escribió:mmm bueno se puso dificil.

En el tuto ponen el kernel32.dll... a mi no me sale ninguna api de ese, si no todas de msvbvm60.dll.. peroooo la detectada me aparece asi:

¿es de msvbvm60.dll o de kernel32?

Y lo de las funciones... pues solo hay de msvbvm60:

En estos casos..... ¿Qué se hace? Muchas gracias, saludos.

A mi me pasa exactamente igual... que se pude hacer en este caso?

a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).

esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).

saludos

bloodday escribió:a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).

esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).

saludos

ja ja ja ja.... ganaste la apuesta!!!!... disculpa que te moleste, pero tu podrias explicarme de manera personal como hacer un xor alli?

brot leos_79 ,esta de mas de buen aporte , havia escuchado esa teoria , pero de verda te la comiste con eeste aporte
:D

bloodday escribió:a eso le puedes aplicar xor y te la quitas de encima (te apuesto lo que sea a que esa es una firma del nod32).

esas son de kernel, pero les busca la direccion en tiempo de ejecucion, por eso no te sale todavia (aun no ah optenido su direccion).

saludos

definitivamente me corto las venas con esta firma del nod32, le aplique el xor en todos los offset y se rompe... y esta solo aqui de principio a fin "RtlMoveMemory"....

alguien puede darme una help?

Yo creía que el Nod 32 ponía su firma allí. Pero no. La pone en Set thread y Get thread. No creo que el Avira la ponga en rtlmovemory.

no se por que este tema aun esta fejada aunque no sirve para nada

nosee21 escribió:no se por que este tema aun esta fejada aunque no sirve para nada

"no sirve para nada"? el hecho de que a ti, no te sirva para nada (pasar un AV), no quiere decir que todos hagamos cosas inproductivas.
Saludos

Algien sabe como cargar "LoadL.." y "GetProcc..." en un stub paar realizar el metodo correctamente?

Esto se puede hacer con importacione de "msvbmv60.dll"?

Saludos!

leos_79 escribió:

nosee21 escribió:no se por que este tema aun esta fejada aunque no sirve para nada

"no sirve para nada"? el hecho de que a ti, no te sirva para nada (pasar un AV), no quiere decir que todos hagamos cosas inproductivas.
Saludos

no te preocupes amigo no paso nada se sirve? pues se sirve Aunque lo intentó varias veces, y varios programas de utilizar esta función Writeprocessmemory y otras funciones pero siguen detectados por AVs