[Hacking] AV Devil - Stub/Exe Stealthing

Dieses Thema im Forum "Security Tutorials" wurde erstellt von Inquisito, 22. September 2008 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. Inquisito
    Inquisito Neu
    Stammnutzer
    #1 22. September 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AV Devil - Stub/Exe Stealthing

    Servus,

    Hier ein kleines Tutorial für das Stealthen von Programmen. Dies kann unter anderem notwendig sein wenn ein offiziel legales programm trozdem als Virus erkannt wird.



    Was benötigt wird :
    - AV Devil (die neuste version, wenn möglich).
    - oder DSplit (XUP).
    - oder AV :mad:er (XUP).

    - Hex Editor (nach wahl)
    - Eure / die Firewall vor der ihr stealthen möchtet.



    Ein paar Grundkenntnisse in programmierung und Dateistruktur können nicht schaden, sind aber nicht erforderlich.




    :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

    Lé Guide :


    Es ist als erstes wichtig die Offsets einer Datei/eines Programmes zu finden,
    die von dem AV/FW Programm als schädlich oder durch "heuristische erkennung" als schädlich eingestuft werden.

    Dies besorgt das Programm AV-Devil.

    AV-Devil gibt euch zwar direkt nach dem Start anweisungen, aber man kann nie sicher sein das jeder Benutzer diese versteht darum wiederhole ich sie hier nocheinmal :

    1.) AV-Devil starten und eure *.EXE auswählen.


    2.) Offsets finden.
    Spoiler
    Ihr könnt den Offsets via AV-Devil relativ leicht herausfinden.
    AV-Devil fordert euch auf eure FW/AV zu deaktivieren. Dies ist zwingend erforderlich (auch wenn es euch danach aufforder diese wieder zu aktivieren).

    AV.Devil fordert euch auf (na ?) eure FW/AV wieder zu aktivieren. (Darum sagte ich ja , zwingend erforderlich.)

    Fortan wird eure FW/AV euch in regelmässigen abständen darüber Informieren das eine *.tmp (muss nicht zwingend eine sein, aber meistens bei mir.) einen Virus/Trojaner/Dropper/backdoor ... wayne enthält.
    Ihr habt sämtliche anfragen zu Ignorieren, zu Erlauben oder wie auch immer eure FW/AV es euch ermöglicht das der Vorgang fortgeführt wird. (Keine Sorge, die Datei wird nicht ausgeführt, es werden nur Lese-Operationen darauf ausgeführt.)

    Nach erfolgreichen Bestätigen/Ignoriere oder sonstwas von XY Nachrichten habt ihr in AV Devil die Offset Addressen der von der FW/AV erkannten Adressen. Dies sind simple HEX-Werte die es nun zu ändern gilt.

    3.) Stealthen
    Spoiler
    Es ist sehr abhängig davon wie euer/r Stub/EXE geschaffen ist. Eine komprimierte oder bereits verschlüsselte EXE unbeschädigt zu verändern ist logischerweise schwieriger als eine normale, da das Programm was dieses entpackt (mglw sogar direkt in die EXE gebunden) bestimmt nicht froh drüber ist das ihr die Kompression verschandelt habt :)

    Ihr greift euch also die dreckige Exe die euch so sehr ans geschlechtsorgan geht ... und öffnet sie mit einem hexeditor. Das einzig wichtige Kriterium was der Hex-Editor erfüllen muss ist das anspringen von Offsets (oder ihr müsst wie blöde suchen...)

    Ihr springt den ersten offset aus AV-Devil an (ÜBERPRÜFT DIESEN) und guckt euch vom start bis ende alles an. Wenn dort viele "00" auftauchen, solltet ihr solltet ihr probieren EINEN dieser Werte zu verändern. (Es bringt euch garnix wenn ihr den gesamten Offset von anfang bis ende in ein Hexadezimales chaos verwandelt...).


    Große bereiche mit 00 00 00 00 00 sind sehr attraktiv zum veränder, wenn die entsprechende FW/AV drauf reagiert wäre zwar selten aber durchaus möglich. (Wie schon gesagt , dies bedeuted NICHT das ihr den offset von AV-Devil vom anfang bis ende verstümmeln müsst. Es reicht wenn ihr einen oder ein paar bytes verändert.)


    Das verändern von Offsetskann zu reaktionen führen die ihr niemals beabsichtigt habt!!!! (Experimentieren !!!)


    Ihr überprüft die datei erneut mit aktiver FW/AV um herauszufinden ob diese noch erkannt wird. Ihr solltet sie am besten auch testen, da durch die modifikation teile oder die ganze anwendung beschädigt werden können. (Dann das Backup laden und andere stellen probieren!!).



    BW wenns euch was gebracht hat, ich appeliere nur an euren gesunden (kranken) poster geist :)

    Kleiner Glosar:
    Spoiler
    [Erklärung][OFFSET] Ein Offset ist eine bestimmte Position in einer Datei (unabhängig davon welchen Typ´s diese Datei ist.)
    [Erklärung][HEX] In einem Hexadezimalsystem werden werte zur Basis 16 dargestellt.
    [Erklärung][HEXEDITOR] Stellt den Inhalt einer jeden Datei (unabhänig vom Typ) als ansammlung von Hexadezimalwerten da.

    EDIT: Thx @ EuroCop (für alternativen!)

    Mfg, Inqui
     

  2. Anzeige

  3. Videos zum Thema