como fazer kl sem o Av pegar?

[Redwolf]

e ai galera  alguem sabe deixar  o kl invisilvel para os  AVs ?

[wolf]

ardamax eh ....

[Anonymous]

qq joinner q vc usar da pra faze isso... ow com diz o "wolf" use o ardamax, que ele ja vem com um joinner... se eu naum me engano, no NetTools 4 (tem na seção downloads) vem com um joinner...

be cool!!!DenverHawks

[Shady]

Joiners nao ajudam a tornar um malware indetectavel. Eles na verdade o tornam mais detectavel. Os antivirus atuais classificam arquivos suspeitos simplesmente por serem "2 em 1". Mesmo que eles nao achem nada de suspeito, eles verificam que ha na verdade dois arquivos e o classificam como suspeito (alguns ate mesmo como trojan).

 O que ajudaria seriam compactadores.

[Anonymous]

eu sei deixar indetectavel add eu nu msn, mas se aprensenta
mailto:darkfire@f4kelive.zzn.com">darkfire@f4kelive.zzn.com

[wolf]

coloque aqui teu metodo =D

[rog]

ate que emfim

um membro querendo invadir por trojan

primeiro tem que descobrir quais sao os carateros que fazem o arquivo ser detectados (offset)

eu conhece 3 metodos :

o metodo do split (prog uksplitter)
ele vai dividir o corpo do prog para tentar descobrir os offsets

o metodo avdevil  (prog avdevil)
ele vai buscar na memoria os offsets detectados

o metodo avtester (prog av_tester)
e mais complicado nao tenho tempo de explicar

a jogada e de trocar um caractero do offset para deixar indetectado
--------------------------------------------
eu acredito que o resto e resto

rog

[kmrafa]

é... o bagui é tenta muda o código fonte dele em alguma coisinha.... dexa ele diferente..

me lembro que programas como o resource hack fazia isso .. n sei se funfa mais.. mais tem programas que faze coisa parecida...

[rog]

@kmrafa

vc nunca vai deixar um arquivo undetectado com esse metodo

http://membres.lycos.fr/rog/?path=./av_tester

baixas o antivirus_tester_v1_by_roger_girardin.rar

la tem um resultado de offset de um malware detectados por NOD32

se eu nao me engano e o tag offset do servidor bifrost

se vc trocar carateros fora desses offsets, o arquivo vai continuar detected

rog

[Cloudy]

Geralmente essas TAGs offset estão em Hexadecimal.

Estou certo? Ou não tm nada a ver?

...by Cloudy

[rog]

e assim e tambem nao e assim

 ;D ;D

o conteudo do arquivo e codigo binario executavel

eles estao todos convertiveis pela tabela ascii (http://www.lookuptables.com/)

esse codigo binario contem carateros invisiveis ao notepad porque nao entraram em convenio de carateros (o que chamam de charset iso) ==> iso = convençao & charset = jogo de carateros

o caratero invisivel mais conhecido e o NUL

entao para visualisar ou adicionar um caratero nulo no seu trojan para cortar um offset, vc nao pode fazer isso com editor de texto

tem que ser com um editor tradutor

decimal ==> vai traduzir o caratero ascii pelo equivalente decimal da tabela ascii (0)
hexadecimal ==> vai traduzir o caratero ascii pelo equivalente hexadecimal da tabela ascii (0)
octal  ==> vai traduzir o caratero ascii pelo equivalente octal da tabela ascii (0000)

entao, usando um editor desse para abrir o seu trojan, vc tera numa janela a representaçao indexada num lado e a representaçao ascii no outro

entao se vc tem a posiçao do offset no arquivo exemplo caratero n° 1334 ate o n°1351

vc abra o trojan com o editor e procuras achar um caratero para mudar entre o 1334 ate o n°1351
se vc tever um editor que permita adicionar carateros, tambem podes tentar acrescentar um null no meio

depois vc testa o servidor para ver se ainda e estavel

rog

[Cloudy]

Hmmmmmm...

Interessante. Achei que fosse mais complicado.

Creio que o mais chato seria achar o offset, não?

...by Cloudy

[rog]

com o avdevil e o mais facil

tem a ultima versao no trojanfrance.com

na epoca que saiu era uma fera, vcs tem que testar com isso premeiro

se nao dê entao baixas o uk splitter

o av_tester e mais complicado

talvez eu faço um tuto

mas de qualquer forma ele precisa de apache/php instalado numa maquina windoz

vou explicar rapidamente o concept

exemplo :
meu exe e um troja  que pesa 26k (26000 carateros)

eu coloco ele no prog (av_tester)

eu lanço uma clonagem

isso vai produzir 26000 trojans  ;D :D

o nome do arquivo comença a 1.exe e termina a 26000.exe

==> 1.exe foi trocado o primeiro caratero
==> 500.exe foi trocado o caratero n°500
==> 1000.exe foi trocado o milesimo caratero
etc.....

eu entao passo o meu av na pasta onde estao os clones com a opçao delete os arquivos infectados

os arquivos qui sobraram sao undetectados e o nome do arquivo da a informaçao de qual caratero foi trocado

cuidade que ele pega o pe header isso quer dizer que os primeiros offsets sao falsos, os arquivos sao undetectados porque o arquivo nao e mais executaveis porque o PE HEADER FOI CORROMPIDO

fim da primeira parte

se tever duvidas e so postar

rog

[Cloudy]

Muito, muito interessante.

É uma técnica inteligente, um tanto quanto simples (Quanto a lógica) e muito eficaz.

A parte ruim é o Apache no Windows =/ (Tenho que instalar uma Máquina Virtual aqui).


Tenho uma dúvida sim.

Quando vc diz que ele vai substituir todos os caracters, vc diz TODOS mesmo, ou ele vai tipo procurar os offset? E outras coisa, ele troca os caracters originais por NULL's? Por qual(is) ele troca? É aleatório?

Obs: Me interessei pelo assunto.

Vlw rog!

...by Cloudy

[darknesshack]

Um ótimo metodo tmb e o iexpress do winxp menu digite iexpress, um compactador da propia microsoft ajuda e muito! vlw!