Indetectables

Indetectables es una Comunidad de Hacking, Seguridad Informática, Impresión 3d y Desarrollo
./index.php?sid=01749fd85ae43140b1efc57ac5bd0489

Nod32 Firma Injector en crypter[Solucionado]

https://www.indetectables.net/viewtopic.php?t=26088

Página 1 de 1

Nod32 Firma Injector en crypter[Solucionado]

Publicado: 01 Sep 2010, 04:06
por Dei
Como estan gente, le comento que empece mi crypter con muy buenos resultados hasta que el NOD se interpuso en mi camino.

Estoy desesperado ya probe de todo y me lo sigue detectando como injector, investigando note que esta linea de codigo es la que hace
saltar el antivirus:


Injec file, StrConv(Archivo, vbFromUnicode), vbNullString


probe ofuscandola un poco etc pero siempre lo mismo...
Que me recomiendan?

Desde ya muchas gracias!

Re: Nod32 Firma Injector en crypter

Publicado: 01 Sep 2010, 04:52
por 3L-BÚH0
Probaste con la tool de K-OZ la Massive y probaste en la PE Offset Iniciar 200 Offser Final 800

rellena con 00, 2E, 90 , 01 , 9D , 40 ETC pero ese trabajo de la hace la tool massive si te quedan offset funcionales y los las conbinaicones que te dije anteriormente son para rellenar por que algunas veses rellenas con 00 quedan 20 offset que no detecta el av pero si pones 01 quedan 25 me entiendes comenta aver :D

Re: Nod32 Firma Injector en crypter

Publicado: 01 Sep 2010, 19:10
por |||L1v3H|||
3L-BUHO si lo posteo en esta Seccion simplemente es porque dice como sacarlo desde el source...Para nod32 encripta las strings con mas de tres encriptaciones Del RunPE
Salu2....

Re: Nod32 Firma Injector en crypter

Publicado: 01 Sep 2010, 22:13
por Dei
Exactamente, lo que busco es sacarlo desde el source, Ahora el RunPE no me lo detecta el antivirus, el problema es la linea en la que hago
la llamada al RunPE, justo acabo de ver que otro usuario posteo una alternativa a esa linea de codigo.

Este es el post: viewtopic.php?f=13&t=26007

Voy a probarlo y les cuento!

Gracias!!!!

Re: Nod32 Firma Injector en crypter

Publicado: 03 Sep 2010, 01:32
por Dei
Bueno, les cuento...

Estuve tratando de implementar lo que dice en ese post pero no me funciono, alguien me podria dar una explicacion rapida de como aplicarlo?

Se los agradeceria mucho!

aca va el code:

Código: Seleccionar todo

Option Explicit

Private Const FROM_UNICODE = &H80
Private Const TO_UNICODE = &H40
Private Const STRING_CODE As String = "Indetectables_KainRazor"

Private Sub Form_Load()

Dim vCode()   As Byte
Dim nCode     As String

'vCode() = StrConv(STRING_CODE, FROM_UNICODE, 0)
vCode() = StrToBytArray(STRING_CODE)

nCode = StrConv(vCode(), TO_UNICODE, 0)

Debug.Print "UNICODE: " & STRING_CODE
Debug.Print "TO BYTE_ARRAY: " _
            ; vCode()
Debug.Print "TO UNICODE: " & nCode

End Sub

' Función programada por Cobein

Public Function StrToBytArray(ByVal sStr As String) As Byte()

Dim i             As Long
Dim Buffer()      As Byte

ReDim Buffer(Len(sStr) - 1)

For i = 1 To Len(sStr)
    Buffer(i - 1) = Asc(Mid(sStr, i, 1))
Next i

    StrToBytArray = Buffer
    
End Function

Re: Nod32 Firma Injector en crypter

Publicado: 03 Sep 2010, 01:50
por rudeboy1991
Nod me salto ahi hace poco en un crypter mio. Pero la verdad la deteccion no esta ahi, sino en la funcion injec(en tu caso) del runpe.
Aplicale unos gotos. Y encripta strings.

Re: Nod32 Firma Injector en crypter

Publicado: 04 Sep 2010, 03:46
por Dei
Alguien podria comentar un poco ese codigo? necesito saber como aplicarlo para reemplazar la conversion de la String de Unicode a un ByteArray en esta linea

Call Injec(file, StrConv(Archivo, vbFromUnicode), vbNullString)

Muchas gracias!

Re: Nod32 Firma Injector en crypter

Publicado: 04 Sep 2010, 12:19
por rudeboy1991
Otra vez... te estoy diciendo que engaña, realmente no esta ahi la firma...

Re: Nod32 Firma Injector en crypter

Publicado: 04 Sep 2010, 19:32
por Dei
Te cuento, ya probe encriptar strings, poner gotos pero igual lo detecta, lo unico que cambio es que antes me lo detectaba como Injector.AQS y ahora Injector.BHF
incluso si saco el RunPE me lo detecta.

Solamente no salta cuando borro esa linea, asi que la heuristica debe estar detectando precisamente esa linea de codigo.

Me gustaria probar alguna manera alternativa de aplicar esa linea de codigo, si alguien es tan amable y me puede dar una ayudita con eso se los voy a agradecer :)

Voy a seguir probando cosas y los mantengo informados...

Gracias!

Re: Nod32 Firma Injector en crypter

Publicado: 04 Sep 2010, 21:51
por KainRazor
No es la línea de la inyección lo que detecta, sino que detecta directamente la inyección. Se da cuenta que se está usando ese code del RunPE, asi que necesitás modificar el RunPE.

Lo que te dice rudeboy es correcto, encriptá las API's con un CallAPIByName, si podés modificá los bucles, crea funciones falsas, o sea, hace saltar al programa de función en función sin que se modifique realmente, modificalo por todos lados al RunPE y te vas a dar cuenta que indetectar al Nod32 es muy fácil.

Cada cambio de nombre en la detección es una firma más/menos en el RunPE.

Re: Nod32 Firma Injector en crypter

Publicado: 05 Sep 2010, 05:39
por RoLyxRoLy
Dei:
Bueno como veo que tenes problemas, te dejo 3 herramientas Especiales para hacer lo que vos queres.

- KPC v2.1
- Source Undetector (loyalist)
- Source Undetector 0.1

Con esto te vas a reir de Nod32 Saludos


Descarga:
[Enlace externo eliminado para invitados]

Pass: ayudita

Re: Nod32 Firma Injector en crypter

Publicado: 24 Sep 2010, 22:06
por Dei
Ya lo solucione, pueden cerrar el post, gracias a KainRazor por la ayuda proporcionada!

Saludos!
Todos los horarios son UTC+02:00
Página 1 de 1

© Indetectables Team

Desarrollado por Indetectables LAB