Upload File

indetectar por source

prev
next
out of 11
Download Indetectar Por Source

Upload: darkcompany96

Post on 09-Jul-2015

734 views

Category:

Documents


0 download

Report

TRANSCRIPT

[Tutorial] Como indetectar cualquier malware por codigo

Dedicacion:Antes de comenzar con el tutorial dare gracias a dos webs que en verdad me han servido de mucho en principal a "Indetectables" que con ella me introduje al mundo del malware y verme motivado porque muchos de los usuarios publican sus propias herramientas.. la otra web es "hackhound" que aunque no este activo en esa web agradesco mucho a los usuario que ahi es donde aprendo mas leyendo cada post que hacen

Conocimientos Minimos:Pues antes que nada para poder entenderme bien tendras que tener por lo menos conocimientos de como usar vb6 y entender que es una variable y todo eso que deberias aprender antes de meterte a la programacion en vb6 x]!.

Introduccion al tuto:Como veo que muchos en Indetectables se dedican a codear y en parte para dejarlos FUD los Modean pero estoy seguro que hay personas como yo que no les gusta Modear por el tiempo que uno hace escaneando con cada antivirus y moviendo de maquinas virtuales . En fin mi objectivo es que no solo existe esa manera de dejarlo FUD sino que tambien por codigo y a mi parecer la mas facil y rapida ya que moviendo unos cuantos codigos o cambiandolos de nombre podemos sakar muchos Avs ya que varios comparten las mismas firmas de esta manera podrias ahorrarte tiempo ; ) .. I hope u got

my point hehe..

Entramos a la guerra:

Ahora si comenzare con el tutorial explicando cada parte y todos los metodos que se para dejar FUD nuestro Stub o cualquiera aplicacion que deseen ;) .

Encriptando Strings:Esto es lo mas fundamental de todo el codigo pues ay muchos strings que llevan como texto WINDOWS, System32, textos del registro como HKCU, HKLM y otros Hay muchas maneras de encriptarlas les mostrare las que me acuerdo ahora Ejemplo de string

La parte ".exe" jala algunas firmas y por eso tenemos que enciptarla y podemos ponerla de las siguientes maneras

[1] En este usamos un String Reverse [2] En este convertimos a Ascii el texto ".exe" :D [3] Un ejemplo de como usarlo con alguna encriptacion de las cuales hay muchas o alguna propia que tengan

Con todo esto vemos que tan solo moviendo un poco y usando alternativas para algo que sera igual sacaremos firmas :D...

Cambiando Variables:Muchos de los casos nosotros usamos variables como son las siguientes

Pero lo que no sabemos es que ya muchos de estos son tomadas como firmas para los Avs y por ende son detectadas ahora en el caso de obviar eso podemos poner algunos valores no muy obvios como lo son en el ejemplo anterior sino como este

Ahora yo no te pido que hagas exactamente como lo acabo de poner solo puse asi como referencia sobre lo que trato de decir con solo esto puedes quitar muchos avs ahora si te es molestoso trabajar asi pues simplemente pones tus variables normales y al final cuando ya hayas acabado puedes presionar [Ctrl + F] y reemplazar todos por la nueva variable

Reemplazando Funciones:Para hacer esto es simplemente buscar alternativas sobre funciones que tengan el mismo proposito un ejemplo muy visto es al momento de hacer un buffer cuando vamos a sacar datos de un archivo esto me sirvio cuando queria tratar de sacar al NOD espero que a ustedes tambien

Modificamos el buffer de la siguiente manera serviria igual pero la estructura del codigo cambiaria ahora si deseas puedes usar Lenfile() por LOF() o otra que sepan ;)

Cambiando nombre de Function y Subs:Esta es otra manera de sacar unos Avs que nos estan molestando en especial aquellos nombres que tiene algo en referencia al diccionario hack xD

Ahora eh visto que RC4 es detectado bueno en mi caso me ah pasado y lo de sAntis tambien para poder sacar algunos Avs en caso de que estas sean detectadas seria cambiarlo de nombre como este

Y milagrosamente algunos saldran jejeje.

Moviendo el orden de los Subs o functions:Otra manera es tambien moviendo el orden de las Funciones y Subs ya que hay avs que guardan porcion o estructura de un malware y con tan solo moverlo un poco puede desaparecer la deteccion :D

Ejemplo:

Y moviendo el orden un poco quedaria algo asi

Y si escaneamos pueda ser que salieron 1 o 2 Avs :).

Agregando codigo basura o Junk Code:En este caso el significado de Codigo basura o en ingles Junk Code es que aadiremos codigos inservibles a nuestro stub como ejemplo tenemos Loops , Variables, String Values, Ifs , Gotos .. Dejare algunos ejemplos de como podrian ser ya cada uno puede hacer el suyo o usar los que dejo

Esto puedes ponerlo como Subs o functions pero otro seria agregarlos dentro de uno como este ejemplo

Agregando Fake Apis a sus modulos:Esta es con la que podemos sacar AVIRA en los RunPE agregando falsos Apis que haran despistar a los avs :D esto sera interesante para muchos ;) Ejemplo de declaracion de un RunPE

Y ahora poniendo fakes Apis o simplemente Apis de la libreria como los de graficos, de sonido principalmente los que cualquier Av lo vea inofensivo ;)

Ejemplo ya con Apis

Cambiando nombre de la Carpeta:Esto si toma gran parte de detecciones poner un proyecto dentro de una carpeta llamada "Stub" esto lo lleva consigo al momento de compilarlo para confirmar esto abran su stub con bloc de notas y veras la ruta del archivo :D asi que como recomendacion pongan un nombre como Windows, Microsoft que se yo usen la imaginacion x]!

Cambiar de nombre a los modulos, Forms, Modulos de Clase y otros:Es preferibles que no pongan nombre relacionados al hacking y seria mejor poner nombres aleatorios como lo muestro en el siguiente ejempo

Compilando en disco C:Hay ciertas firmas que son detectadas y aun asi moficiando partes del codigo no ponemos sacarlas en tal caso una solucion seria compilar el proyecto teniendolo en el disco C: de esa manera sacarias a Kaspersky y a otros con el mismo problema :D

Nombre de Compilado:Es obvio que poniendo como nombre "Stub.exe" al compilar sea muy detectado por muchos avs la solucion a esto es poniendo un nombre aleatorio en especial uno no reconocible y ya una vez compilado puedes cambiar el nombre a "Stub.exe"

Modificando Info:Esto si es efectivo cambiar el nombre de toda la informacion por nombres aleatorios ya

que con esto sera compilado y el Av tambien lo tendra en cuenta al momento de escanear. este seria un ejemplo de como ustedes pueden hacerlo

Y pues obvio cambiar el texto para cada uno de los tipos de informacion como son Comments. Company Name..etc (Mi vb6 esta en ingles :D)

Cambiando Icono:Esto principalmente es para quitarnos de encima al Avira no siempre funcionara pero ya en un tutorial aparte les enseare a quitar al avira profundamente en especial del encriptado ;)...

Pasar Nuestro proyecto a uno nuevo:Ahora si hemos intentado todo esto y si alguno de los Avs siguen detectando nuestro stub o alguna otra aplicacion lo recomendable es cambiar todo el codigo del proyecto a otro que quiero decir con eso simplemente copiar todos los codigos de los forms, modulos, clases de modulos para pegarlos en otros del nuevo proyecto Ejemplo:

Conclusion:Hasta el momento que estuve escribiendo fueron todos estos los que me acorde aunque siento haberme olvidado de algunos . Pero bueno solo espero que a muchos les haya servido este tutorial y si les ayudo en algo porfavor no se olviden de dar creditos ya que esto lo hago por compartir con ustedes lo que eh aprendido y seria algo lammer que esten diciendo que ya lo sabian cuando no fue asi pero de todas maneras se que talvez algunos ya los saben pero hay muchos que no y esto va dirigido hacia ellos ya sin mas nada que decir solo espero que hagan FUD sus tools y colaboren con la comunidad :D Salu2..

Tips FinalesEn el caso de que sea un Stub nuestro proyecto les recomiendo que por nada del mundo vayan a usar stub como variable o como nombre de algun form simplemente evita el uso de esa palabra


Storyboard video Open Source

Kiwibot Robotica Open Source

Broshure Rx Medical Source

Pentaho (BI Open Source)

Social Media Y Open Source

RE SOURCE S - avientdistribution.com

CNC Caseira Controlada por um Software Embarcado Open Source

Desarrollo open source en Atrápalo

Medieval Source Book

Presentation R2 F Open Source

Impresion 3D open source

THE SOURCE - CCR&R-MC

Pentaho Bi Open Source

Herramientas Open Source

The Shaker Source - Eppendorf

Nattokinase - Source Naturals

Virtualizacion Open Source - Proxmox

Herramientas Para BPM (Open Source)

SQL Data Source

Softwrae Open Source en Plm

Vtiger Open Source

Open source diapos

12/10/2020 Source: Impression

8 software, source, linux

Tumaker - Impresoras 3D open source

Open source, cómo ganar regalando

Presentacion open source 2010

Open Source - El Verdadero Potencial

Open source

Ofimática Open Source

Como (y por que) contribuir a un proyecto Open Source

SISTEMAS OPERATIVOS OPEN SOURCE. TABLA DE CONTENIDO ¿Que es un Sistema Operativo Open Source? (Código abierto) ¿Que es un Sistema Operativo Open Source?

Estudio open source

Open Source en VE Multimedios

p03m12 Source