Les dejo un tutorial sobre modding muy básico para los que empiezan desde 0 así que expertos abstenerse porque les parecerá muy tonto. Les dejo el crypter del ejemplo asi pueden comparar los resultados seria bueno que todos los que quieran hacer el curso modeen el mismo así mientras vamos avanzando en el tutorial si surge una duda se las respondería con mayor facilidad
Si les Surgen dudas posteenlas en este misma post para que a todos aquellos que le surge la misma duda ya tendrá la respuesta
Introducción:
El Software antivirus usa dos métodos para proteger Nuestra PC:
1 - Analizar los archivos comparándolos con la base de datos de software maligno (Firmas) seria como una rueda de reconocimiento policial o cuando se intenta identificar a un delincuente con una foto: El antivirus compara cada archivo del disco duro con un “diccionario” de virus conocidos . Si cualquier pieza de código (firmas) en un archivo del disco duro coincide con el virus conocido en el diccionario, el software antivirus entra en acción y 2 la monitorización constante del comportamiento de archivos que pueden estar infectados.
Por ejemplo
Viéndolo desde Binario supongamos que para Avast este código es una firma de virus "12 55 40 05" cuando analize el binario y encuentre esto:
Automáticamente Saltara como virus
Método Av Fucker
Con este método buscaremos la firma y cambiaremos su código para que Avast o cualquier antivirus ya no la reconozca
Código detectado como virus
Código modificado indectado
Es simple verdad? el tema es que cuando modifiquemos uno de esos números (offset) tiene que quedar funcional
Vamos a verlo Paso por paso
Paso 1 herramientas
Indetectables offset locator 2.6 (es que yo utilizo pero puede ser cualquier locator)
Hex Workshop
Este Crypter: http://foro.udtools.net/showthread.p...ck-28-Crypters (JuJu V2) asi modeamos todos el mismo
Yo use esta bolita: http://foro.udtools.net/showthread.p...ghlight=bolita
Paso 2
Agarramos el crypter y encryptamos una bolita
Paso 3
Abrimos en offset locator o tambien usar el Monster modder tool y en "archivo" elegimos la bolita y en "directorio" la carpeta donde vamos a crear los offsets (Creen una carpeta nueva y llamenla offsets) en bytes inicial ponemos "100" y en rellenar el numero "90"
Tendria que quedarles mas o menos ASi
Le damos iniciar y esperamos q termine de crear los offset.... Cuando termine escaneamos la carpeta offset con Avast y borramos los detectados
Paso 4
Vamos a Mostrar offset
y hacemos doble click en rango que aparece 2370 - 2410
ahora el locator nos quedara así
Borramos todos los archivos de la carpeta offsets y le damos nuevamente a iniciar luego escaneamos con Avast la carpetas offsets borramos los detectados y nos quedarian estos offsets
Le damos click a mostrar offsets nuevamente
Y elegimos el rango 2370 - 2410
el locator les quedara así:
Borramos los archivos de la carpera offset y de damos a iniciar nuevamente... escaneamos con avast... borramos los detectados
y nos quedan estos offsets
Cuando ya estamos a 1 byte
debemos probar cual funciona...
Abrimos el primero 2380
Y... Perfecto funciona
Como sabemos si funciona? si tiene que abrir la bolita que encryptamos...
Paso 5
Abrimos el hex workshop
Abrimos el stub
Boton derecho
Goto
offset
y Ponemos el que era funcional 2380
Cambiamos el numero que figura en ese offset por el numero que pusimos en "rellenar con"
Y guardamos File Save as...
Stub modificado.exe
Scaneamos el stub y....
Saludos
Por ejemplo
Viéndolo desde Binario supongamos que para Avast este código es una firma de virus "12 55 40 05" cuando analize el binario y encuentre esto:
Automáticamente Saltara como virus
Método Av Fucker
Con este método buscaremos la firma y cambiaremos su código para que Avast o cualquier antivirus ya no la reconozca
Código detectado como virus
Código modificado indectado
Es simple verdad? el tema es que cuando modifiquemos uno de esos números (offset) tiene que quedar funcional
Vamos a verlo Paso por paso
Paso 1 herramientas
Indetectables offset locator 2.6 (es que yo utilizo pero puede ser cualquier locator)
Hex Workshop
Este Crypter: http://foro.udtools.net/showthread.p...ck-28-Crypters (JuJu V2) asi modeamos todos el mismo
Yo use esta bolita: http://foro.udtools.net/showthread.p...ghlight=bolita
Paso 2
Agarramos el crypter y encryptamos una bolita
Paso 3
Abrimos en offset locator o tambien usar el Monster modder tool y en "archivo" elegimos la bolita y en "directorio" la carpeta donde vamos a crear los offsets (Creen una carpeta nueva y llamenla offsets) en bytes inicial ponemos "100" y en rellenar el numero "90"
Tendria que quedarles mas o menos ASi
Le damos iniciar y esperamos q termine de crear los offset.... Cuando termine escaneamos la carpeta offset con Avast y borramos los detectados
Paso 4
Vamos a Mostrar offset
y hacemos doble click en rango que aparece 2370 - 2410
ahora el locator nos quedara así
Borramos todos los archivos de la carpeta offsets y le damos nuevamente a iniciar luego escaneamos con Avast la carpetas offsets borramos los detectados y nos quedarian estos offsets
Le damos click a mostrar offsets nuevamente
Y elegimos el rango 2370 - 2410
el locator les quedara así:
Borramos los archivos de la carpera offset y de damos a iniciar nuevamente... escaneamos con avast... borramos los detectados
y nos quedan estos offsets
Cuando ya estamos a 1 byte
debemos probar cual funciona...
Abrimos el primero 2380
Y... Perfecto funciona
Como sabemos si funciona? si tiene que abrir la bolita que encryptamos...
Paso 5
Abrimos el hex workshop
Abrimos el stub
Boton derecho
Goto
offset
y Ponemos el que era funcional 2380
Cambiamos el numero que figura en ese offset por el numero que pusimos en "rellenar con"
Y guardamos File Save as...
Stub modificado.exe
Scaneamos el stub y....
Saludos
fuente: udtools
amigo muchas gracias por tu esfuerzo y trabajo, por enseñarnos, me he vuelto un duro gracias a usted mi hermano
ResponderEliminarcolega podrias arreglar el link de descargar la Bolita por favor te lo agradeceria mucho saludos
ResponderEliminar