Camuflando Virus por números Hexadecimais

Iniciado por BiLL, 18 de Dezembro , 2007, 08:57:26 AM

tópico anterior - próximo tópico

0 Membros e 1 Visitante estão vendo este tópico.

Imprimir
Ir para o fim Páginas1
Ações

BiLL

18 de Dezembro , 2007, 08:57:26 AM
Antes de começarmos eu sei que irá haver muitas perguntas sobre o por que de se editar hexadecimalmente um trojan, tudo está diretamente relacionado à como o vírus é detectado pelo anti-vírus... O seu anti-vírus procura pelo código hexadecimal dentro dos programas para ver se batem com os números hexadecimais que ele tem guardado em sua assinatura (aquele arquivo que é atualizado constantemente), se coincidir os números, é vírus hehe. Tendo essa idéia em mente, uma saída simples é essa: altere esse código que está cusando problemas! Como? vamos lá:

Precisamos de:
-Um editor hexadecimal (usaremos o HEXPlorer por ser freeware)
-Um server de qualquer trojan
-E por último um anti-vírus


Simplesmente após criar seu server (deiche seu anti-vírus desligado), abra ele com o Hexplorer, vários números aparecerão. Role a tela até mais ou menos a metade, selecione TODOS os números dalí para baixo.
Após feito isso, note um botão no canto superior direito, ele tem o formato de um ZERO, clique nele, perceba que todos os números selecionados viraram ZEROS.

Para compreender o quê isso está fazendo é simples, o ZERO na linguagem hexadecimal significa um ponto sem operação, o ZERO é nulo... Após feito isso salve o arquivo em um outro local, vá até aquele local, e apertando o botão direito, selecione a opção do seu antivírus que diz para escanear por vírus. Se o seu anti-vírus achou alguma coisa, exelente, isso significa que o código que o indentifica como sendo um vírus está na parte inferior de todos aqueles números hexadecimais. Se achou algo é o contrário, o código está na parte superior.
Agora vamos para a parte menos complicada, volte para o hexplorer e dê um CTRL+Z para voltar ao formato original. Se seu anti-vírus não localizou nada, comece "zerando" os números por partes de baixo para sima, se ele localiou, comece pelo contrário.
Após localizar os números hexadecimais que seu anti-vírus capta como sendo um vírus, mude-os de forma que não afete o arquivo...

Pontos a declarar:
-Não pence que será fácil mudar os números sem corromper o arquivo;
-Não pence que TODOS os antí-vírus não irão mais detectar seu vírus, isso ocorre por que cada anti-vírus possue um número diferente que identifica o vírus como sendo o próprio. Mais não fique desanimado, muitos anti-vírus possuem assinaturas iguais para pegar os vírus...
-E por último mas mais importante: fassa seu próprio trojan. Mantenha ele em versão privada para somente o você usar, e compartilhe com os outros como o mesmo foi feito.


[                                   P/ fazer o download do HEXPlorer
                                           

BiLL

#1
18 de Dezembro , 2007, 11:49:49 PM
Citação de: "6_Bl4ck9_f0x6"Cara, posta ae os creditos do verdadeiro autor, isso é chato sabia véio, os caras ripam a parada e nem posta os creditos dos escritores, abraço.


velho se tive autor com certeza eu iria postar,  mais como naum tinha, naum posso fazer nada né. Vc esta certo eu deveria pelo menos colocar assim: autor desconhecido, mais eu esqueci flw...

Wuefez

#2
25 de Dezembro , 2007, 10:37:38 AM
Esse é o tutorial mais idiota que eu ja li.

Simplesmente ir deletando partes aleatorias do codigo do virus é simplesmente o cumulo da burrice, ja que qualquer parte do codigo esta la por um motivo (achei que esse tipo de coisa não precisava ser explicada).

Quer fazer SEU virus ficar indetectavel?
Pesquise e aprenda sobre metamorfismo e seja feliz.

http://en.wikipedia.org/wiki/Metamorphic_code


"Quem fala não faz."

Reeves

#3
26 de Dezembro , 2007, 11:59:52 PM
desta vez concordo com o Wuefez ...
no chute é foda..
as chances de deixar corrompido ou tirar suas funcionalidades é muito alta..
seria igual tentar achar senha no chute.
melhor fazer o seu ou ir atras de metamorphic..

aproposito, Wuefez
tem algo legal sobre Metamorphic para nos apresentar?  ;)
que a verdade seja dita \o/
  °vº   NÃO USE DROGAS,
/(_)\  USE GNU/LINUX
^ ^

BiLL

#4
27 de Dezembro , 2007, 09:48:01 AM
ta certo cara. estamos aqui e pra aprender e com os melhores...

         

Reeves

#5
29 de Dezembro , 2007, 02:16:11 PM
aFF kra..

Citar"Reeves" gostaria que voce desse uma lida neste texto abaixo ae cara, pois voce num entende nada de virus huahauhUhauhuha!!!

Hooo 6_Bl4ck9_f0x6 Loser, alguem precisa saber assembler para entender que fazer algo sem seguir alguma regra ou ao menos saber o que está alterando, provavelmente não dará certo?

unica coisa que concordei com o Wuefez foi:
CitarSimplesmente ir deletando partes aleatórias do código do vírus é simplesmente o cumulo da burrice.

o kra no txt, fez isso, mas com um objetivo e não como o tópico inicial.

pense 2x para não falar comigo nesse "tom" irônico atoa kra..
ia agradecer pelo conteúdo, mas vc nem merece devido a ser "folgado"

CitarE claro que deletando partes do
vírus, ele não ira funcionar(pois o arquivo estará com pau)
pau e corrompido pode ser o mesmo.

simplesmente acho des-necessário essa sua atitude.  :P
  °vº   NÃO USE DROGAS,
/(_)\  USE GNU/LINUX
^ ^
Imprimir
Ir para o topo Páginas1
Ações