termine el avfucker y ahora que ?

[natis]

ok es para definir mejor la posicion de la la firma, entiendo.

y cuando te encuentras que haces avfuck y el av te pilla todos los offsets tan solo empezar el avfuck
a 1000 bytes, es que ahora mismo ando haciendo avfuck y el av ikaru me pilla todos los offsets.

estuve revisando por el foro y otros, y la solucion unica es dsplit ? cuando todos los offsets son eliminados por el av ?

saludos

[Kesmek'J]

ok es para definir mejor la posicion de la la firma, entiendo.

y cuando te encuentras que haces avfuck y el av te pilla todos los offsets tan solo empezar el avfuck
a 1000 bytes, es que ahora mismo ando haciendo avfuck y el av ikaru me pilla todos los offsets.

estuve revisando por el foro y otros, y la solucion unica es dsplit ? cuando todos los offsets son eliminados por el av ?

saludos

si tenes que hacer dsplit . ! porque tiene mas de 1 firmas

[natis]

ok entiendo Kesmek'J

ayer me pille el manual de pedrodf007 que explica en plan microscopio que es dsplit aparte de avfuck

bueno aca les dejo mis ultimos pasos en dsplit, le indico tengo el fichero encriptado notepadencriptado06.exe ok, le hago dsplit offset inicial 1000 bytes offset final 172572 bytes, a 1000 bytes.

ok, hago dsplit luego paso av y me detecta 80 files (offsets) elimino detectado y muestro offsets (les adjunto la imagen)



ok me ofrece dos offsets a elegir
- 1000 a 3000 offsets final
- 5000 a 94000 offsets final

bueno me decido por la primera fila de 1000 a 3000 offsets final ya que aun debo rebajar a 100 bytes, 10 bytes y 1 byte. Y la fila de abajo de 5000 a 94000 saldrian muchos offsets.

ok, pues le hago dsplit de 1000 a 3000 offsets final a 100 bytes. Le paso de nuevo el av y ahora viene mi sorpresa (no me detecta ningun offset) bueno... yo sigo mostrar offsets y a 10 bytes, paso av tampoco detecta ningun offset, bueno sigamos mostrar offsets, creo offsets a 1 byte paso av tampoco detecta ningun offsets.

ok me planto en 2001 offsets (dsplit) no detectados por el av del offsets 1000 al 3000

DUDAS
=====

si el av solo me detecta los primeros offsets a 1000 bytes, y luego a 100 bytes ya no detecta ¿quizas porque dsplit a roto todo ? y aunque no detecte firmas a dsplit a 100 bytes entiendo que debo seguir reduciendo con dsplit hasta 1 byte, correcto ?

cualquier sugerencia que quieran indicarme, gracias por su apoyo incondicional a mi entrenamiento espero
poder firmar en un futuro autografos a todos ustedes dandoles mis gracias por su ayuda. 

[WinDeath]

Hola. Estás mezclando los dos métodos. Si lees bien el paper de Pedrof007, hay que "hacer dsplit entre el último archivo spliteado indetectado y el primer archivo spliteado detectado". O lo que es lo mismo, en tu caso entre 3000 y 4000 a 100 bytes. En el rango 1000-3000 no detecta nada porque esta rota la firma o simplemente no esta ahí.

En la segunda opción sería entre 94000 y 95000 a 100 bytes.

La herramienta te hace ella sola la selección si le das doble clik izquierdo en el rango de offsets que te muestra.

Date cuenta también que "file" no es igual que "offsets" .

[natis]

Hola. Estás mezclando los dos métodos. Si lees bien el paper de Pedrof007, hay que "hacer dsplit entre el último archivo spliteado indetectado y el primer archivo spliteado detectado". O lo que es lo mismo, en tu caso entre 3000 y 4000 a 100 bytes. En el rango 1000-3000 no detecta nada porque esta rota la firma o simplemente no esta ahí.
Date cuenta también que "file" no es igual que "offsets" .

hola, agradezco tu ayuda he podido seguir adelante te indico los pasos que hecho :

DSPLIT 1000, 100, 10 y hasta llegar a 1 byte (pasando en cada paso de byte el av) quedando
el ultimo offset 3605_1.exe

le sumo uno mas 3605 + 1 = 3606

hago de nuevo DSPLIT

offset inicial 3600
offset final   3606
byte 1

obtengo el offset 3606_1.exe a 1 byte spliteado

pegamos offset 3606_1.exe en el escritorio

le hacemos AVFUCK normal es decir

offset inicial 1000
offset final   3606
bytes          1000

pasamos av a carpeta offset borro detectados

y ahora aqui me encuentro que solo me deja un offset no detectado este



si le doy a mostrar offsets a la herramienta offsetlocator no me muestra ningun ya que solo me deja
un offset no borrado el av el 4000_1000.exe (como se muestra en la imagen)

¿ que puedo hacer en estos casos, cuando al hacer avfuck a 1000 ya no me deja mas de 2 offsets minimos para seguir ?

saludos

[WinDeath]

Igual que has hecho con 1000, pero prueba ahora con 100, 10 y 1. Seguro que aparece algún rango.

Después, guarda los archivos que te deje indetectados a 1, coges el archivo original y haces AVfucker a 1 byte con offset inicial: el primero que te dejo sin detectar en el archivo spliteado y offset final: el último que te dejo indetectado.

Luego ve comprobando los que coincidan en número y el que sea funcional lo sacas y vuelta a empezar con este. Si te queda sólo una firma saldrá con AVFucker, si no, otra vez Dsplit a 1000, 100, etc...

Espero que me entiendas. Si no repasa el video tutorial de Rudeboy1991, no puedo aportar capturas desde donde escribo ahora.

[natis]

Igual que has hecho con 1000, pero prueba ahora con 100, 10 y 1. Seguro que aparece algún rango.

Luego ve comprobando los que coincidan en número y el que sea funcional lo sacas y vuelta a empezar con este. Si te queda sólo una firma saldrá con AVFucker, si no, otra vez Dsplit a 1000, 100, etc...

Espero que me entiendas. Si no repasa el video tutorial de Rudeboy1991, no puedo aportar capturas desde donde escribo ahora.

hola WinDeath,

segui tu consejo, bueno me revise de nuevo el video de rudeboy el que explica  (DSPLIT alternativo) ya que es el que mejor es para mi caso.

despues de aprender del video de rudeboy, como bien dices obtuve los offsets funcionales y los no funcionales, de entre ellos revise cual funcionaba y estaba en ambas carpetas.  concretamente
el offset 93147_1.exe

una vez localicado pille ese offsets y volvi a mirar el size del stub.exe concretamente el size del stub.exe es de 102400 bytes, asi que me fui al editor HEX y elimine del 93147_1.exe la parte sobrante de bytes es decir el encriptado del stub.

una vez efectuado renombre el 93147_1.exe como stub, y volvi a pillar el notepad para encriptarlo con el
crypter, probe y abre el notepad, asi que funciona. ok

me fui al AV (el ikaru) y el fichero encriptado me lo sigue detectando   

bueno entiendo porque habre quitado 1 firma, de las 2,3,4 y hasta 20 que puede a ver... segun indica Rudeboy en sus videos... aunque el av en question es el ikaru y no se si es tan fuerte como para pillar tanto... ok, entonces sino voy equivocado (por ser novato) supongo que abre quitado como dijo 1 firma y hay mas firmas... es asi ? y ahora que puedo hacer ?

otra cosa que he notado, el fichero encriptado de ahora (notepadencriptado.exe) por ejemplo me lo detecta el AV NOD y en cambio con el antiguo Stub.exe es decir el anterior al nuevo que ahora he creado de Stub.exe. El AV NOD no lo detectaba el archivo final encriptado (notepadencriptado.exe) anterior con el antiguo stub.exe, entonces puede ocurrir que al quitar una firma de un AV, otras que quite anteriormente vuelvan a salir ?? si es asi, o soy un desastre en esto del mod... o hay algun paso que no hago bien todavia y no se verlo...

una ultima consulta, hay alguna forma, técnica o herramienta que pueda indicar que Nº de firmas detecta el AV ?, es decir en vez de no saber si hay 1,2,3 o 20, alguna forma de saber que exactamente el AV detecta 1 firma o 9 firmas exactamente, de esta forma uno puedo evaluar si hacer avfuck dsplit si solo hay 1 o 3 firmas maximo si hay 20 supongo que es cuestion de tiempo que uno disponga y paciencia...



saludos y disculpar los posibles errores

[WinDeath]

me fui al AV (el ikaru) y el fichero encriptado me lo sigue detectando   

bueno entiendo porque habre quitado 1 firma, de las 2,3,4 y hasta 20 que puede a ver... segun indica Rudeboy en sus videos... aunque el av en question es el ikaru y no se si es tan fuerte como para pillar tanto... ok, entonces sino voy equivocado (por ser novato) supongo que abre quitado como dijo 1 firma y hay mas firmas... es asi ? y ahora que puedo hacer ?

Si, hay mas firmas. Ahora puedes volver a hacer dsplit de nuevo con ese archivo o probar Avfucker si sólo te queda 1 más.

otra cosa que he notado, el fichero encriptado de ahora (notepadencriptado.exe) por ejemplo me lo detecta el AV NOD y en cambio con el antiguo Stub.exe es decir el anterior al nuevo que ahora he creado de Stub.exe. El AV NOD no lo detectaba el archivo final encriptado (notepadencriptado.exe) anterior con el antiguo stub.exe, entonces puede ocurrir que al quitar una firma de un AV, otras que quite anteriormente vuelvan a salir ?? si es asi, o soy un desastre en esto del mod... o hay algun paso que no hago bien todavia y no se verlo...

Cuando pasa eso es una putada. Prefiero tener un stub indetectado al NOD que a Ikarus. Lo que yo haría es coger el encryptado indetectado a NOD e irme a por otro antivirus a ver si sale tambien la de Ikarus. Sabemos que algunos avs comparten firmas. El caso es ir probando y coger el camino mas corto. También puedes seguir con Ikarus y dejar a NOD para el final, no te lo aconsejaría, pero para practicar es bueno,  cada cuál debe buscar su estilo, así es como se aprende.

una ultima consulta, hay alguna forma, técnica o herramienta que pueda indicar que Nº de firmas detecta el AV ?, es decir en vez de no saber si hay 1,2,3 o 20, alguna forma de saber que exactamente el AV detecta 1 firma o 9 firmas exactamente, de esta forma uno puedo evaluar si hacer avfuck dsplit si solo hay 1 o 3 firmas maximo si hay 20 supongo que es cuestion de tiempo que uno disponga y paciencia...

Que yo sepa no existe esa herramienta, pero puedes pasar el av y ver si te marca firmas diferentes, al estilo de Signature Fucker de Metal_Kingdom y que puedes ver en los videos que hemos comentado en el post.
 

saludos y disculpar los posibles errores

Errores cometemos todos.

[natis]

hola WinDeath,

gracias por tus consejos, bueno al final tire adelante y desinstale el ikaru, y me fui para algo mas sencillo por mi nivel de novato al AVG

ok hice avfuck al ficheroencriptado.exe y de ahi fui bajando los bytes hasta 1 byte.

pero esta vez creo que me tocara aprender RIT, porque los offsets que me deja el avfuck a 1 byte no son detectados por el AV AVG, pero NO son funcionales. es decir que si clicko en cualquiera de ellos se cargan en memoria porque los veo por el administrador de tareas, pero no ejecutan el bloc de notas (notepad)

aqui la imagen de los offsets NO detectados pero NO funcionales con avfuck 1 byte



asi que creo que toca irme para RIT, voy en el camino correcto ??

el metodo DSPLIT, lo ingnoro porque el avfucker me deja firmas no detectadas, pero no funcionales ?

gracias de nuevo, saludos.

[WinDeath]

asi que creo que toca irme para RIT, voy en el camino correcto ??

Si, te toca ya. 

el metodo DSPLIT, lo ingnoro porque el avfucker me deja firmas no detectadas, pero no funcionales ?

Por regla general si, aunque el NOD por ejemplo te deja archivos indetectados con AVfucker y suele tener más de una firma.

He leido que has desinstalado y vuelto instalar otro antivirus. Yo empecé igual, pero te recomiendo los avs de consola, command line, más rápido. Dejo un link de una web que copie en html pero no recuerdo la fuente. La pongo tal cuál la tengo en mi disco duro porque no es mío y prefiero respetar el formato. Sirve de orientación para montarte los archivos .bat y llamar a los avs por command line. Tienes que personalizarlos para tus rutas y opciones. Algunos avs de consola también aportan ejemplos de estos archivos .bat, pero a mi estos me funcionan.   

https://rapidshare.com/files/1593078175/Bat_command_line.html

Si todavía estuviera por aquí alguien que se ha despedido, revisaría los comandos en batch y diría si están bien.