Title: como fazer kl sem o Av pegar?
Post by: Redwolf on 20 de February , 2006, 11:12:14 AM
Post by: Redwolf on 20 de February , 2006, 11:12:14 AM
e ai galera alguem sabe deixar o kl invisilvel para os AVs ?
Title: Re: como fazer kl sem o Av pegar?
Post by: wolf on 22 de February , 2006, 09:07:04 PM
Post by: wolf on 22 de February , 2006, 09:07:04 PM
ardamax eh ....
Title: Re: como fazer kl sem o Av pegar?
Post by: Anonymous on 22 de February , 2006, 10:28:13 PM
Post by: Anonymous on 22 de February , 2006, 10:28:13 PM
qq joinner q vc usar da pra faze isso... ow com diz o "wolf" use o ardamax, que ele ja vem com um joinner... se eu naum me engano, no NetTools 4 (tem na seção downloads) vem com um joinner...
be cool!!!DenverHawks
be cool!!!DenverHawks
Title: Re: como fazer kl sem o Av pegar?
Post by: Shady on 22 de February , 2006, 11:26:12 PM
Post by: Shady on 22 de February , 2006, 11:26:12 PM
Joiners nao ajudam a tornar um malware indetectavel. Eles na verdade o tornam mais detectavel. Os antivirus atuais classificam arquivos suspeitos simplesmente por serem "2 em 1". Mesmo que eles nao achem nada de suspeito, eles verificam que ha na verdade dois arquivos e o classificam como suspeito (alguns ate mesmo como trojan).
O que ajudaria seriam compactadores.
O que ajudaria seriam compactadores.
Title: Re: como fazer kl sem o Av pegar?
Post by: Anonymous on 05 de March , 2006, 08:58:10 PM
Post by: Anonymous on 05 de March , 2006, 08:58:10 PM
eu sei deixar indetectavel add eu nu msn, mas se aprensenta
darkfire@f4kelive.zzn.com
darkfire@f4kelive.zzn.com
Title: Re: como fazer kl sem o Av pegar?
Post by: wolf on 03 de May , 2006, 09:55:25 PM
Post by: wolf on 03 de May , 2006, 09:55:25 PM
coloque aqui teu metodo =D
Title: Re: como fazer kl sem o Av pegar?
Post by: rog on 03 de May , 2006, 10:54:48 PM
Post by: rog on 03 de May , 2006, 10:54:48 PM
ate que emfim
um membro querendo invadir por trojan
primeiro tem que descobrir quais sao os carateros que fazem o arquivo ser detectados (offset)
eu conhece 3 metodos :
o metodo do split (prog uksplitter)
ele vai dividir o corpo do prog para tentar descobrir os offsets
o metodo avdevil (prog avdevil)
ele vai buscar na memoria os offsets detectados
o metodo avtester (prog av_tester)
e mais complicado nao tenho tempo de explicar
a jogada e de trocar um caractero do offset para deixar indetectado
--------------------------------------------
eu acredito que o resto e resto
rog
um membro querendo invadir por trojan
primeiro tem que descobrir quais sao os carateros que fazem o arquivo ser detectados (offset)
eu conhece 3 metodos :
o metodo do split (prog uksplitter)
ele vai dividir o corpo do prog para tentar descobrir os offsets
o metodo avdevil (prog avdevil)
ele vai buscar na memoria os offsets detectados
o metodo avtester (prog av_tester)
e mais complicado nao tenho tempo de explicar
a jogada e de trocar um caractero do offset para deixar indetectado
--------------------------------------------
eu acredito que o resto e resto
rog
Title: Re: como fazer kl sem o Av pegar?
Post by: kmrafa on 05 de May , 2006, 03:03:10 PM
Post by: kmrafa on 05 de May , 2006, 03:03:10 PM
é... o bagui é tenta muda o código fonte dele em alguma coisinha.... dexa ele diferente..
me lembro que programas como o resource hack fazia isso .. n sei se funfa mais.. mais tem programas que faze coisa parecida...
me lembro que programas como o resource hack fazia isso .. n sei se funfa mais.. mais tem programas que faze coisa parecida...
Title: Re: como fazer kl sem o Av pegar?
Post by: rog on 05 de May , 2006, 04:01:27 PM
Post by: rog on 05 de May , 2006, 04:01:27 PM
@kmrafa
vc nunca vai deixar um arquivo undetectado com esse metodo
http://membres.lycos.fr/rog/?path=./av_tester (http://membres.lycos.fr/rog/?path=./av_tester)
baixas o antivirus_tester_v1_by_roger_girardin.rar
la tem um resultado de offset de um malware detectados por NOD32
se eu nao me engano e o tag offset do servidor bifrost
se vc trocar carateros fora desses offsets, o arquivo vai continuar detected
rog
vc nunca vai deixar um arquivo undetectado com esse metodo
http://membres.lycos.fr/rog/?path=./av_tester (http://membres.lycos.fr/rog/?path=./av_tester)
baixas o antivirus_tester_v1_by_roger_girardin.rar
la tem um resultado de offset de um malware detectados por NOD32
se eu nao me engano e o tag offset do servidor bifrost
se vc trocar carateros fora desses offsets, o arquivo vai continuar detected
rog
Title: Re: como fazer kl sem o Av pegar?
Post by: Cloudy on 05 de May , 2006, 10:09:23 PM
Post by: Cloudy on 05 de May , 2006, 10:09:23 PM
Geralmente essas TAGs offset estão em Hexadecimal.
Estou certo? Ou não tm nada a ver?
...by Cloudy
Estou certo? Ou não tm nada a ver?
...by Cloudy
Title: Re: como fazer kl sem o Av pegar?
Post by: rog on 05 de May , 2006, 10:28:39 PM
Post by: rog on 05 de May , 2006, 10:28:39 PM
e assim e tambem nao e assim
;D ;D
o conteudo do arquivo e codigo binario executavel
eles estao todos convertiveis pela tabela ascii (http://www.lookuptables.com/ (http://www.lookuptables.com/))
esse codigo binario contem carateros invisiveis ao notepad porque nao entraram em convenio de carateros (o que chamam de charset iso) ==> iso = convençao & charset = jogo de carateros
o caratero invisivel mais conhecido e o NUL
entao para visualisar ou adicionar um caratero nulo no seu trojan para cortar um offset, vc nao pode fazer isso com editor de texto
tem que ser com um editor tradutor
decimal ==> vai traduzir o caratero ascii pelo equivalente decimal da tabela ascii (0)
hexadecimal ==> vai traduzir o caratero ascii pelo equivalente hexadecimal da tabela ascii (0)
octal ==> vai traduzir o caratero ascii pelo equivalente octal da tabela ascii (0000)
entao, usando um editor desse para abrir o seu trojan, vc tera numa janela a representaçao indexada num lado e a representaçao ascii no outro
entao se vc tem a posiçao do offset no arquivo exemplo caratero n° 1334 ate o n°1351
vc abra o trojan com o editor e procuras achar um caratero para mudar entre o 1334 ate o n°1351
se vc tever um editor que permita adicionar carateros, tambem podes tentar acrescentar um null no meio
depois vc testa o servidor para ver se ainda e estavel
rog
;D ;D
o conteudo do arquivo e codigo binario executavel
eles estao todos convertiveis pela tabela ascii (http://www.lookuptables.com/ (http://www.lookuptables.com/))
esse codigo binario contem carateros invisiveis ao notepad porque nao entraram em convenio de carateros (o que chamam de charset iso) ==> iso = convençao & charset = jogo de carateros
o caratero invisivel mais conhecido e o NUL
entao para visualisar ou adicionar um caratero nulo no seu trojan para cortar um offset, vc nao pode fazer isso com editor de texto
tem que ser com um editor tradutor
decimal ==> vai traduzir o caratero ascii pelo equivalente decimal da tabela ascii (0)
hexadecimal ==> vai traduzir o caratero ascii pelo equivalente hexadecimal da tabela ascii (0)
octal ==> vai traduzir o caratero ascii pelo equivalente octal da tabela ascii (0000)
entao, usando um editor desse para abrir o seu trojan, vc tera numa janela a representaçao indexada num lado e a representaçao ascii no outro
entao se vc tem a posiçao do offset no arquivo exemplo caratero n° 1334 ate o n°1351
vc abra o trojan com o editor e procuras achar um caratero para mudar entre o 1334 ate o n°1351
se vc tever um editor que permita adicionar carateros, tambem podes tentar acrescentar um null no meio
depois vc testa o servidor para ver se ainda e estavel
rog
Title: Re: como fazer kl sem o Av pegar?
Post by: Cloudy on 05 de May , 2006, 10:44:51 PM
Post by: Cloudy on 05 de May , 2006, 10:44:51 PM
Hmmmmmm...
Interessante. Achei que fosse mais complicado.
Creio que o mais chato seria achar o offset, não?
...by Cloudy
Interessante. Achei que fosse mais complicado.
Creio que o mais chato seria achar o offset, não?
...by Cloudy
Title: Re: como fazer kl sem o Av pegar?
Post by: rog on 05 de May , 2006, 11:02:29 PM
Post by: rog on 05 de May , 2006, 11:02:29 PM
com o avdevil e o mais facil
tem a ultima versao no trojanfrance.com
na epoca que saiu era uma fera, vcs tem que testar com isso premeiro
se nao dê entao baixas o uk splitter
o av_tester e mais complicado
talvez eu faço um tuto
mas de qualquer forma ele precisa de apache/php instalado numa maquina windoz
vou explicar rapidamente o concept
exemplo :
meu exe e um troja que pesa 26k (26000 carateros)
eu coloco ele no prog (av_tester)
eu lanço uma clonagem
isso vai produzir 26000 trojans ;D :D
o nome do arquivo comença a 1.exe e termina a 26000.exe
==> 1.exe foi trocado o primeiro caratero
==> 500.exe foi trocado o caratero n°500
==> 1000.exe foi trocado o milesimo caratero
etc.....
eu entao passo o meu av na pasta onde estao os clones com a opçao delete os arquivos infectados
os arquivos qui sobraram sao undetectados e o nome do arquivo da a informaçao de qual caratero foi trocado
cuidade que ele pega o pe header isso quer dizer que os primeiros offsets sao falsos, os arquivos sao undetectados porque o arquivo nao e mais executaveis porque o PE HEADER FOI CORROMPIDO
fim da primeira parte
se tever duvidas e so postar
rog
tem a ultima versao no trojanfrance.com
na epoca que saiu era uma fera, vcs tem que testar com isso premeiro
se nao dê entao baixas o uk splitter
o av_tester e mais complicado
talvez eu faço um tuto
mas de qualquer forma ele precisa de apache/php instalado numa maquina windoz
vou explicar rapidamente o concept
exemplo :
meu exe e um troja que pesa 26k (26000 carateros)
eu coloco ele no prog (av_tester)
eu lanço uma clonagem
isso vai produzir 26000 trojans ;D :D
o nome do arquivo comença a 1.exe e termina a 26000.exe
==> 1.exe foi trocado o primeiro caratero
==> 500.exe foi trocado o caratero n°500
==> 1000.exe foi trocado o milesimo caratero
etc.....
eu entao passo o meu av na pasta onde estao os clones com a opçao delete os arquivos infectados
os arquivos qui sobraram sao undetectados e o nome do arquivo da a informaçao de qual caratero foi trocado
cuidade que ele pega o pe header isso quer dizer que os primeiros offsets sao falsos, os arquivos sao undetectados porque o arquivo nao e mais executaveis porque o PE HEADER FOI CORROMPIDO
fim da primeira parte
se tever duvidas e so postar
rog
Title: Re: como fazer kl sem o Av pegar?
Post by: Cloudy on 05 de May , 2006, 11:13:51 PM
Post by: Cloudy on 05 de May , 2006, 11:13:51 PM
Muito, muito interessante.
É uma técnica inteligente, um tanto quanto simples (Quanto a lógica) e muito eficaz.
A parte ruim é o Apache no Windows =/ (Tenho que instalar uma Máquina Virtual aqui).
Tenho uma dúvida sim.
Quando vc diz que ele vai substituir todos os caracters, vc diz TODOS mesmo, ou ele vai tipo procurar os offset? E outras coisa, ele troca os caracters originais por NULL's? Por qual(is) ele troca? É aleatório?
Obs: Me interessei pelo assunto.
Vlw rog!
...by Cloudy
É uma técnica inteligente, um tanto quanto simples (Quanto a lógica) e muito eficaz.
A parte ruim é o Apache no Windows =/ (Tenho que instalar uma Máquina Virtual aqui).
Tenho uma dúvida sim.
Quando vc diz que ele vai substituir todos os caracters, vc diz TODOS mesmo, ou ele vai tipo procurar os offset? E outras coisa, ele troca os caracters originais por NULL's? Por qual(is) ele troca? É aleatório?
Obs: Me interessei pelo assunto.
Vlw rog!
...by Cloudy
Title: Re: como fazer kl sem o Av pegar?
Post by: darknesshack on 06 de May , 2006, 06:46:45 PM
Post by: darknesshack on 06 de May , 2006, 06:46:45 PM
Um ótimo metodo tmb e o iexpress do winxp menu digite iexpress, um compactador da propia microsoft ajuda e muito! vlw! 
Title: Re: como fazer kl sem o Av pegar?
Post by: _Dr4k0_ on 14 de May , 2006, 08:43:37 PM
Post by: _Dr4k0_ on 14 de May , 2006, 08:43:37 PM
PETITE...
eh bem simples de usar..
e funciona muito bem
ou então com o joinner do proprio ardamax..
eh bem simples de usar..
e funciona muito bem
ou então com o joinner do proprio ardamax..
Title: Re: como fazer kl sem o Av pegar?
Post by: Cloudy on 14 de May , 2006, 08:54:25 PM
Post by: Cloudy on 14 de May , 2006, 08:54:25 PM
Puuuuuuuuuuuuuuuuuuuutz
Primeiro que p Petite é detectado por 101% dos AVs, e segundo que Joinner não deixa indetectado, ele só esconde dos olhos dos usuários.
O negócio é estudar bastante sobre como os AVs funcionam.
...by Cloudy
Primeiro que p Petite é detectado por 101% dos AVs, e segundo que Joinner não deixa indetectado, ele só esconde dos olhos dos usuários.
O negócio é estudar bastante sobre como os AVs funcionam.
...by Cloudy
Title: Re: como fazer kl sem o Av pegar?
Post by: rog on 14 de May , 2006, 08:58:35 PM
Post by: rog on 14 de May , 2006, 08:58:35 PM
eu acredito que todos compactadores/joiners/criptadores nao deixam um kl undetectado, com certeza o petite sera detectado
os avs consideram eles como malware e pegam offset do extractor
para conseguir deixar undetectado, tem que ser com uma ferramente desconhecida pelos avs
ha um tempinho o pervert2 funcionava, so nao sei hoje
o ch'ti hack (criador do petite) fez um tool privado chamado fsgc que nao e detectado porque e privado, se vc achar ele, vc conseguira deixar o kl undetectado
rog
os avs consideram eles como malware e pegam offset do extractor
para conseguir deixar undetectado, tem que ser com uma ferramente desconhecida pelos avs
ha um tempinho o pervert2 funcionava, so nao sei hoje
o ch'ti hack (criador do petite) fez um tool privado chamado fsgc que nao e detectado porque e privado, se vc achar ele, vc conseguira deixar o kl undetectado
rog
Title: Re: como fazer kl sem o Av pegar?
Post by: spiriti on 14 de May , 2006, 10:00:42 PM
Post by: spiriti on 14 de May , 2006, 10:00:42 PM
Depois de tanta teoria fiquei confuso,se eu não tiver um AV na minha maquina,e,tiver o petite,então ele funcionara e conseguirei deixar meu Kl indetectavel? 
Title: Re: como fazer kl sem o Av pegar?
Post by: rog on 14 de May , 2006, 11:17:56 PM
Post by: rog on 14 de May , 2006, 11:17:56 PM
um exemplo com nod32
o nme dude edition (privado)
os avs conseguiram decryptar o conteudo do pacote entao eles detectam o trojan
o full Mr undectable (privado)
os avs nao conseguiram decryptar o conteudo do pacote mas deram um tag no packer
o outro prog (privado)
os avs nao conseguiram decryptar o conteudo do pacote e tambem nao conheçam o packer entao nao poderam dar um tag nele
entao para uma ferramenta dessa deixar o trojan undetectado :
- o av nao pode decriptar o pacote
- o av nao pode reconhecer o packer/crypter/joiner senao ele bloqueio o extractor
espero ter sido claro
qualquer duvida e so postar
rog
o nme dude edition (privado)
os avs conseguiram decryptar o conteudo do pacote entao eles detectam o trojan
QuoteF:\rog\Bureau\ud\nme1.1_-_dude\server-nme.exe - Win32/DarkMoon.BV cheval de Troie
Nombre de fichiers analysés: 1
Nombre de menaces détectées: 1
o full Mr undectable (privado)
os avs nao conseguiram decryptar o conteudo do pacote mas deram um tag no packer
QuoteF:\rog\Bureau\ud\FullMrUndetectable\loader.exe - probablement une variante de Win32/TrojanDropper.ErPack cheval de Troie
Nombre de fichiers analysés: 1
Nombre de menaces détectées: 1
o outro prog (privado)
os avs nao conseguiram decryptar o conteudo do pacote e tambem nao conheçam o packer entao nao poderam dar um tag nele
QuoteDisques, répertoires et fichiers analysés: F:\rog\Bureau\ud\chti\server.exe
Nombre de fichiers analysés: 1
Nombre de menaces détectées: 0
entao para uma ferramenta dessa deixar o trojan undetectado :
- o av nao pode decriptar o pacote
- o av nao pode reconhecer o packer/crypter/joiner senao ele bloqueio o extractor
espero ter sido claro
qualquer duvida e so postar
rog
Title: Re: como fazer kl sem o Av pegar?
Post by: BobFox on 15 de May , 2006, 01:54:56 PM
Post by: BobFox on 15 de May , 2006, 01:54:56 PM
O ardamax ja esta sendo reconhecido pelo anti-virus AVAST.
Title: Re: como fazer kl sem o Av pegar?
Post by: Anonymous on 18 de May , 2006, 10:41:30 PM
Post by: Anonymous on 18 de May , 2006, 10:41:30 PM
Resumindo,os keylogger bons esta na mão da galera que sabe programar,o resto é so perda de tempo!
to lascado??? ???
to lascado??? ???