Hola muchachos buen dia a todos !!  Aqui un humilde usuario volviendo despues de 11 años proximadamente 
Como cualquier persona que de este foro que se intereso por un rat en aquella epoca comence buscando informacion de muchos foros pero el que siempre me fue de gran ayuda fue indectables.net que siempre me brindo su apoyo , con herramientas , quiza algun otro cryper fud que posteaban los administradores ..
Mi primer rat fue bifrost que era una bomba aquella epoca para windows xp , Pues si lo recuerdan exista una web argentina , la de mauro WWW:TROYANOSYVIRUS.COM.AR  donde descargue el manual para dejar indectable un server con signature 0 , hexworshop etc .., el paquete era completo pero un poco complicado de entender en esa epoca !
con el paso del tiempo windows vista y windows 7  tomaron el control y cerro por completo bifrost ya que el keylogger de bifrost ya no dejaba leer , asi que la unica solucion era el famoso SPY NET !! aquellas personas que llegaron a usar ese maravilloso rat me daran la razon ! se rumoreaba por ahi que tenia un puerto especial donde el desarrollador podia espiar informacion ? quiza si , no  .. NUNCA LO SUPE ...

bueno ustedes se preguntaran y a que viene todo eso ?? 

Simplemente un usuario mas como cada uno de ustedes que viene a pedir informacion ! los rats de ahora cambiaron ?? 
todavia se usa el pack completo " TROYANO (SERVER-CLIENTE) - no-ip (ejemplo.no-ip.biz) , es obvio contar con los puertos activos , pero la pregunta mas importa ! El metodo que usaba aquella vez con signature zero par encerrar las firmas , despues usar hexworshop todavia funciona ??? ... o durante todo este tiempo se ha vuelvo mas accesible , !!

De ante mano muchas gracias a todas las personas que tomen su tiempo para poder responderme ! un saludo a todos los administradores !! 
Server.exe
Hola , no e probado ese método que dices tu , pero ahora yo e estado usando AvFucker y Dsplit hay mas métodos pero no los e aprendido aun.
Rip1999: escribió: Hola muchachos buen dia a todos !!  Aqui un humilde usuario volviendo despues de 11 años proximadamente 
Como cualquier persona que de este foro que se intereso por un rat en aquella epoca comence buscando informacion de muchos foros pero el que siempre me fue de gran ayuda fue indectables.net que siempre me brindo su apoyo , con herramientas , quiza algun otro cryper fud que posteaban los administradores ..
Mi primer rat fue bifrost que era una bomba aquella epoca para windows xp , Pues si lo recuerdan exista una web argentina , la de mauro WWW:TROYANOSYVIRUS.COM.AR  donde descargue el manual para dejar indectable un server con signature 0 , hexworshop etc .., el paquete era completo pero un poco complicado de entender en esa epoca !
con el paso del tiempo windows vista y windows 7  tomaron el control y cerro por completo bifrost ya que el keylogger de bifrost ya no dejaba leer , asi que la unica solucion era el famoso SPY NET !! aquellas personas que llegaron a usar ese maravilloso rat me daran la razon ! se rumoreaba por ahi que tenia un puerto especial donde el desarrollador podia espiar informacion ? quiza si , no  .. NUNCA LO SUPE ...

bueno ustedes se preguntaran y a que viene todo eso ?? 

Simplemente un usuario mas como cada uno de ustedes que viene a pedir informacion ! los rats de ahora cambiaron ?? 
todavia se usa el pack completo " TROYANO (SERVER-CLIENTE) - no-ip (ejemplo.no-ip.biz) , es obvio contar con los puertos activos , pero la pregunta mas importa ! El metodo que usaba aquella vez con signature zero par encerrar las firmas , despues usar hexworshop todavia funciona ??? ... o durante todo este tiempo se ha vuelvo mas accesible , !!

De ante mano muchas gracias a todas las personas que tomen su tiempo para poder responderme ! un saludo a todos los administradores !! 
Yo también soy de aquella época y aprendí los mismo métodos que tú.
Todo funciona igual, lo único que los antivirus detectan todo lo conocido y ya no se puede sacar firmas como antaño porque, que yo sepa, no hay servicio online de antivirus gratuito como en nuestra época.
Ahora todo lo que analices va a la base de datos, a menos que pagues claro. Por este foro había algo así.
Aunque hace unos años también estoy por acá, no tanto como es tu caso, ingrese también por spy net en esa época. Por lo comentado de gente de este foro, (gente que tiene mucho conocimiento y experiencia) el tema de indetectar se volvió imposible en la práctica debido a la heurística de los AV... bueno, no imposible, pero mucho más complejo, como comenta el compañero, además que scanners online que eran gratis como podía encontrarse antes, yo no volví a ver. Por lo que leí también, parece ser que algunos rats de esa época no funcionan ahora en win 10.
Fue un tiempo agradable, imagino que antes, como en el tiempo que comentas, debe haber sido muy bueno para esas prácticas, pero creo yo, actualmente quedaron desactualizadas lamentablemente.
Seguramente hay otras formas y métodos, pero como antes pasaba con los mod "privados" calculo que el que tenga su forma personal, lo reservara para no quemarlo, esto es solo una opinión, nada que sepa realmente.
 
Los antivirus han evolucionado igual que el malware. Puedes quitar  firmas usando métodos de aquella época, pero detectara otra cosa. haz tus pruebas.


PD: Yo también recuerdo troyanosyvirus. Abia un manual de Bifrost, themida, signature 0 y el av_Fcuker de SR_Sombrero.  :eek:
Los rats no cambiaron, si no que cambiaron los anti virus, ahora trabajan muy duro en  runtime, de tal forma que  quitar una firma no te serviría de nada, tendrías que modificar el  código fuente del   rat  y luego cifrarlo para que  burle dicho av en runtime, dependiendo cada uno de ellos tendras que usar distintas técnicas. 

Sobre troyanosyvirus  como olvidarla...  recuerdo que el  admin(Mauro) vendia el suyo, un tal "prospyrat" xd,  por cierto que en paz descanse si fue verdad lo de su muerte.




pd: xxxPoseidonxxx veo tu foto de avatar y me dan ganas de encender uno XD SALUTE.
 
Joder, qué recuerdos! Yo en su momento utilicé Bifrost con NO-IP y conectaba de PM (hablo de cuando Windows XP) que por cierto aún conservo un Bifrost ORIGINAL de Chasenet.org, creo que de los pocos que quedan con internet con su HASH intacto, es decir sin "sorpresitas" dentro, el original 100% de "th3chas3r", para mi es sin ninguna duda el mejor troyano de la historia, funcional, rápido, estable y con una cantidad inmensa de posibilidades. El problema es que en una máquina virtual que tengo de W7 me funciona y en otra no... Cosas muy raras :/

Creo que a día de hoy la única forma que hay de indetectabilizar algo es o modeando un crypter, que para eso según dijeron hay que saber programación (yo no se, y se me da fatal y mira que lo intento...) o pagar o hay un método antiguo que aún funciona pero que es difícil de aplicar, al menos yo no he sido capaz de hacer la parte final es el método MEEPA, por muy antiguo que sea estoy 100% convencido en que sigue funcionando por la forma en que actúan los AV's y la heurística... Yo tengo un bifrost original si alguien quiere intentar método MEEPA conmigo que me lo diga, yo no he sido capaz de sacar la parte final en la de la sustitución hexadecimal, conservo el manual y todos los programas que hacen falta para aplicar el método. 
El conocimiento que no se comparte SE PIERDE...
Responder

Volver a “Dudas y Preguntas”