Indetectables

Hace unos días que tenia un server completamente indetectable (lo tuve por varios meses) y me apareció la firma del nod32 llamada Win32/Injector.YS. Traté de sacarla durante horas con hexing y fue imposible, en cualquier caso me rompía el server, y lo peor, cuando trato de hacer rit con el olly... al encontrar los offsets detectados no me puedo regresar a la memoria, simplemente no aparece en el menú contextual. ¿Que puedo hacer en este caso?

lord.of.da.flies podrias explicar los pasos que haces al momento de sacar la firma con el metodo hex

Muchas gracias por tu respuesta Ortek.

Primer paso, encripto el notpad con mi cripter. Segundo paso uso el avfucker (o uno muy parecido) con 1000 bytes y rellenando con 88 y me da los siguientes offsets: 1000 2000 3000 4000 5000 6000 7000 10,000 11,000 12,000 y 16,000. Luego lo vuelvo a usar pero ahora con 100 bytes digamos entre el 1000 y el 2000 (puede ser el que sea... y ya probé varios) y luego con 1 byte entre los que me hayan salido. Casi siempre me salen 10 archivos en este último paso.. y los pruebo cada uno y nada, todos rotos, en la mayoría aparece la ventanita de windows que ha habido un problema y la aplicación dejo de funcionar algo así y los que no me dan otro tipo de errores.. TODOS. He probado bastante pues siempre me ha funcionado el hex... pero ahora nada.

Luego si trato de hacer rit:

Esa es la amigable pantalla de bienvenida que me recibe cuando lo abro, pero no pasa nada... igual se abre perfectamente y todo.

Luego trato de irme... por ejemplo al 1500:

¿y ahora que?

También lo hice con el stub (que también es detectado) y pasa lo mismo.

porque esta en Creativeproces y na mas tocar algo se rompe en la C mayusculas y cambiarla a minusculas rompe yo esto buscando algo pa sacarlo

eso es un Api no lo puedes cambiar si no puedes hacer esto viewtopic.php?f=8&t=8861&start=0

Muchas gracias, lo haré y te cuento.

Bueno, he tratado de hacer lo del tutorial y es imposible... por lo mismo de que al estar en el ejecutable no me deja "regresar" a la memoria... no se muestra "view image in dissasembler". También traté de sacar la dirección virtual con el studpe pero me da un error. ¿Que puedo hacer?

xD ase lo que hago yo cuando me pasa eso ...(echale mil #~#@||··· chuchadas a la pc ...) y arma denuevo el stub con vb,,,, xD asi empiezas de 0 xD... bueno espero que te aya servido saludos ...

Ya.. una disculpa, había quitado una firma del 331 y eso me jodia el stub cuando lo metia en el olly. A veces pasa.. xd Gracias.

mmm bueno se puso dificil.

En el tuto ponen el kernel32.dll... a mi no me sale ninguna api de ese, si no todas de msvbvm60.dll.. peroooo la detectada me aparece asi:
¿es de msvbvm60.dll o de kernel32?

Y lo de las funciones... pues solo hay de msvbvm60:


En estos casos..... ¿Qué se hace? Muchas gracias, saludos.

¿Alguna ayuda para burlar la heurística del nod? gracias

Lord, lo más rapidito así sería ponerte enfrente del monitor, sacar la lengua, y bajar el parpado con un solo dedo.

Lo siento me pillas frio, y no se me ocurre otra burla ahora mismo.