9 Antworten in diesem Thema

[franch]

Hallo ich suche ein tool womit ich mein server.exe fud machen kann. Und zwar indem ich das von Antiviren erkannte signature selbst verändere. Ich habe mal vor einiger Zeit, von so einem tool gelesen, aber habe keine Ahnung mehr wie es hiess.

 

Es war dort beschieben, dass man zuerst die .exe compailen muss. Dann testet man Schritt für Schritt welche Binär teil als Signature für jeweilige Antivirus programm übernommen wurde. Und dann muss man den teil einfach ändern.

 

Bin Anfänger, daher Anfänger Sprache

 

Also danke schon mal. Hoffe jemand weiss da was ich meine.

 

 

[B1nary]

Wieso möchtest du dir die Arbeit machen und nimmst nicht einfach einen guten Crypter?

 

Korrigiert mich, wenn ich falsch liege, aber ist diese Art und Weise nicht sogar eher kontraproduktiv? Das erhöht doch eher die Detection-Rate, wenn du nach jedem Umbasteln scannst und das AV-Tool ggf. neue Signaturen erstellt und meldet.

[franch]

Gute crypter haben leider auch ihren Preis. Und die sollten doch eher dedected werden, wegen der hohen Verbreitung oder nicht?

 

Kennst vielleicht trozdem so einen tool?

[nibble nibble]

Nimm den Link von B1nary 1a Crypter Top Preiß.

Und wen du es doch selber machen willst nimm z.b. dsplit, aber du musst für jede AV testen und die gefahr ist groß das du dein Server schrottest.

[Cube]

Please Login HERE or Register HERE to see this link!

 

Files splitten --> von AV scannen lassen und dann kannst du dich ans basteln machen.

 

Funktioniert.

Ist aber realtiv aufwendig und die chance dass das file danach nicht mehr orndungsgemäß funktioniert ist sehr groß.

 

Grüße

Cube

[n1nja]

Zu meiner damaligen Zeit, hab ich kaum Crypter benutzt.

Man kann auch den PE Header verändern. Man kann die Dedections Hexen (Hex-Editor). Ist natürlich für jedes AV sehr sehr aufwändig.

 

Manchmal reicht es schon, wenn man den EP (EntryPoint) verschiebt, bzw verändert.

 

Resourcen ändern. 

 

Manuelles Packing kann man auch noch benutzen.

 

Gibt schon viele gute Sachen

[franch]

Danke nibble

dsplit war was ich suchte. habe auch bei google das entsprechende Tutorial dazu gefunden.

 

Das erhöht doch eher die Detection-Rate, wenn du nach jedem Umbasteln scannst und das AV-Tool ggf. neue Signaturen erstellt und meldet.

Aber Wenn ich das ganze offline erledige, kann ja der AV gar keine Übermittlung tätigen, egal wie oft ich daran bastle. Oder ?

Das problem ist, dass ich mich mit coding gar nicht auskenne, und wüsste nicht, was ich mit dem dedected Signatur machen würde. Einfach löschen würde ihn ja ggf. Funktionsuntauglich machen.

 

ps. Spielt es eigentlich eine Rolle, wenn ein System bereits infiziert ist, und das AV die Server.exe als malware einstufft. Also könnte ich bereits infizierte Systeme verlieren??

Bearbeitet von franch, 01 June 2015 - 16:27 Uhr.

[sup3ria]

Die Zeiten von Dsplit sollten vorbei sein.

 

Du kannst aber relativ leicht public .net Crypter refudden in dem du obfuscatest oder br jumps einbaust und so.

[n1nja]

Wenn du die Stelle gefunden hast, was erkennt wird.
Dann schaust du dir genau an, was da gemacht wird. Danach kannst du sehen, was du damit machst.
entweder mit hexen wegnullen oder anders ändern.
Wenn es ganz doof läuft musst du die stelle verschieben. Musst den call ändern usw.
das erfodert schon einiges an wissen.

Aber gibt ja dazu jede Menge Tuts:)

Und ja es könnte passieren, das du früher oder später Vics verlierst.
Man kann auch Downloaden benutzen und dann den Trojaner immer auf den aktuellen Stand zu halten:)

Bearbeitet von n1nja, 01 June 2015 - 17:36 Uhr.

[R3s1stanc3]

Ich habe vor einiger Zeit mal bei einer ELF (keine PE) probiert zu splitten und einzelne Parts zu scannen um die Funktion zu finden, die detected wurde. Da war es der Fall, dass jeweils nur der erste Part mit dem korrekten ELF Header gescannt und ggf detected wurde. Alle anderen Parts wurden wohl gar nicht mehr richtig geprüft, da das AV sich den Header anschaut, keine ELF/PE/andere executable -> ungefährlich