Hola compañeross, estoy analizandouna firma de avira (TR/Dropper.Gen), aquí unas imágenes:
[Tienes que estar registrado y conectado para ver este vínculo]
leynda.-1: último dsplyt a 1 byte no contaminado; 2: último dsplyt contaminado*; 3: =2..; 4: bolita encryptada con el stub a limpiar.

*El "2" es el último para ver todos los contaminados (10 en total), si cambio todo lo que está en amarillo (supuesta firma) no es detectado.
Ahora, si lo cambio en el "4", este si es detectado, imagino que tendrá más firmas iguales...; y también me rompe el exe.

Le doy con avfucker al primero detectado (1_81691) y quedan 11 a 1byte; cambiando cualquiera me rompe el exe. y sigue siendo detectado. cambiando todos también sigue siendo detectado..

¿Esa es la firma en el estub, la de la imagen "4"? ¿Porque lo rompe con tan solo cambiar un offset?¿Como saco funcionales dspues de dsplitearlo...?¿Porque cambiando todos esos offsets sigue detectándolo (aunque esté roto..)?

Bueno se agradece cualquier comentario...

Man damen el stub por P.m hay miramos que se puede hacer vale ?

te rompe pues la toca donde no se puede ,proba 256 combinaciones a ver qual no te rompe , pero auq asi no lo sacará , quando lo detecta a cambiar te salta la firma de xpack no ?
el paraguas és muy duro ay que lo estudiar mucho para sacar-lo , el putazo és un dolor de cabeça

Draz ya te lo mandé, todo tuyooo XD (no he tenido tiempo antes..)

M3n3g@tt1 al cambiar me salta la misma.. :S

creo que voy a cambiar de crypter a ver que tal...

Gracias brothersss

Men aca te lo dejo ************************** [Tienes que estar registrado y conectado para ver este vínculo]no se si salieron otros avs XD el stub original y mi modificacion el stub habre perfectamente en Win 7 Ultimate 32 bits no me dejaste el crip para testiar si en verdad funciona saludos

draz escribió:Men aca te lo dejo ******************* no se si salieron otros avs XD el stub original y mi modificacion el stub habre perfectamente en Win 7 Ultimate 32 bits no me dejaste el crip para testiar si en verdad funciona saludos

[Tienes que estar registrado y conectado para ver este vínculo]
Pideme la contraseña por Pm

Draz eres un crack!! funciona perfecto!! totalmente funcional. Dios stao analizando los offsets y no veas... Gran trabajo brotherrr

Lo que si que detecta es la heurística
File Info
Avira AntiVir - HEUR/Crypted
Scan report generated by
[Tienes que estar registrado y conectado para ver este vínculo]

No se que hacerle a eso, de todos modos el av en si lo salta perfectamente

Muchas gracias!!! Muy buen trabajo

Men me alegra que te alla funcionado la heuristica tocaria mirar ya con el encriptado saludos men

Buen trabajo brother ... XD

Sigo con el mismo stub xd se me atravesao bit dfnder (y otro mas que no recuerdo l nombre ahora, stoy fuera)), he probado todo ya, tmb en cabecera, leido mil tutoriales y nada.

Lo he intentado con ollydb y topo y tampoco. Con topo no puedo abrirle un hueco, me rompe el exe.

¿alguna idea??XD

Se me aconsejan algún tuto en especial de olly y topo diganme pliss

Saludoss brotherrrsss

para bit no necessita hacer rit , sale simplesmente com dsplit e avfucker , proba a ver que tal , que firma te salta ? ay muchos tips para bit , salud2

como dice nuestro moder M3n3g@tt1 con dsplit y avfucker un poco de lordPe si se sabe usar saludos men XD cuantos avs lo tenias y en cuanto va ? saludos

Probé con avf y dsplt pero no me quedan funcionales y también hay más firmas por todos ladoss

Creo que cogí un crypter algo antiguo, busqué uno sin modear; el post era de febrero...el cryp en vb6

Cuando tenga tiempo lo analizo otra vez y paso unas imágenes.

La verdad que lo cogí para practicar y me fue bien hasta llegar al paraguitassss (Grax Drazz)), saqué avast, nord32, avg; con esas mod y la de draz creo que han salido más, no puedo escanear en los buenos escaners, así que no se como andará...

Con el multiav (no recuerdo el nombre...) saltan 2 o 3 de 10, pero las firmas andan por donde mismo.. así que quitando bit puede que se vaya la otra....

Al final le cambio el nombre al post y pongo "la historia de mi stub"

Wee Saludos y gracias, ya comentaré mis avances XDD

Jajjajajajajajaa estare siguiendote en tu Stub ojala te quede FUD y te dure lo suficiente para que te animes ha hacer otro respecto a que es un crip viejo es mejor entre menos tocado este el stub mejor asi mas facil sacas firmas pienso yo y mas posivilidades de modificar ..... saludos

XDD Acabo de sacar bit en dos minutos con avf... la otra vez estaba encabezonao en hacerlo con la bolita, ahora lo hice al stub directamente, me fui al offset mas lejos de las librerias y bingo!!

jejje ara ando con sophos, pero hay que desplitearlo

luego edito con el resultado XDD
ed
El sophos es el que me da la lata, lo que no entiendo es lo esta imagen
[Tienes que estar registrado y conectado para ver este vínculo]
son dos archivos dsplit el "1" no lo detecta y el "2" sí. Si cambio los dos últimos dos offset de la 2 sigue siendo detectado...no entiendo eso.. he probado con 90 con 00 21 etc.

Si toco el stub por ahí rompe...(hay uno que no pero lo detecta..) valla tela la dll... a ver como salgo de esta

Seguiré dandole guerra...Como siempre, se agradece cualquier comentario para sus/unkpacker....

Por cierto ya sta fuera panda, macafee, A2, vba, ikarus

Saludossss

volvió avira tr/droper.gen puedo asegurar que no cambié nada en el stub... simplemente apareció. Utilizaré este en lo que pueda y comenzaré a modear uno nuevo......

Gracias por vuestra ayuda

Pueden cerrar por mi parte