#1 16. August 2009 Hi Leute, Wie der Titel schon sagt, versuche ich einen Server UD, am besten aber FUD zu kriegen. Mein Server ist ein Bitfrost 1.2 Server. Ich hab schon mit etlichen Cryptern hantiert, sind aber alle schon detected. Also hab ich beschlossen selbst Hand anzulegen, Hexxen is für mich kein Problem, das hab ich schon einige male gemacht. Also, wie bin ich vorgegangen? 1. Server erstellt 2. Nach Offsets gescannt (Antivir) 3. Entrypoint verschoben (der Server soll gegen Kaspersky auf jeden Fall UD sein) 4. Nach dem EP verschieben hat auch AV nch ein Offset gefunden - prima 5. Versucht das erkannte offset mit nem Hexeditor umzuhexxen --> Hier liegt das Problem, das Offset liegt mitten im Dateiheader, wenn ich es so ändere, dass kein Virus mehr erkannt wird, is auch die Datei hinüber - ich hab den Server schon mehrere male erstellt, hab auch versucht das ganze mal garnicht zu stealthen, morphine/TheMidea/BitfrostCrypter/Yoda Crypter/Upx hab ich auch versucht. Jetzt habe ich mir gedacht: Naja, öffneste den Server halt in OllyDebug, suchst das Offset und gehst folgendermassen vor: Code: Offset vorher (nur ein Beispiel): blablabla blubb fasel ende Und ich wollte das so lösen: Jmp <leerer codecave> blablabla blubb fasel ende jmp <Die Adresse die ursprünglich nach "ende" kommt> Den code weiter oben natürlich durch NOPs ersetzen Das Problem ist aber (nicht lachen ) Ich weiss nicht, wo das Offset zu finden ist. Ich habe mal einen screenshot angehängt, und im executable-viewer von Odbg irgendein offset markiert. Ich habe jetzt 2 Fragen: 1. Wie finde ich das offset im Assemblercode, so dass ich das wie oben beschrieben ändern kann? 2. Gibt es andere möglichkeiten, wie ich das ganze UD kriegen könnte? ICH WILL KEINE ANTWORTEN WIE "Kauf nen Crypter/Ich kann dirs UD machen (nicht dass ich da was gegen hätte)"!!!! Mir geht es nicht nur darum, das Ding UD zu kriegen, sodern darum, dass ich verstehe wie das ganze funktioniert. Danke für eure Antworten schonmal im Vorraus Screenshot (klickmich) {bild down} Ps: @mods die diesen Thread closen wollen: Ich hab die Sufu benutzt, und zwar 3 ähnliche Themen gefunden, von denen aber in keinem meine Frage behandelt wird. + Multi-Zitat Zitieren
#2 20. August 2009 AW: (Anfänger?)Problem beim Stealthen mit Olly Debug Offsets haben mit OllyDBG eig. relativ wenig zutun, wenn du das ding manuell UD machen willst musst dus manuell packen, entweder mit XOR oder RC4. mfg + Multi-Zitat Zitieren
#3 21. August 2009 AW: (Anfänger?)Problem beim Stealthen mit Olly Debug Okay, Danke. Dann werde ich das mal versuchen. Ich meinte nur: AV scanner erkennen ja diverse Hex- Muster als Teil einer Schadsoftware (bitte korrigier micht wenn ich falsch lieg). Wenn ich jetzt mit Odbg den Teil der Datei der erkannt wird einfach woanders hingeschrieben, und das Original mit NOP überschrieben hätte, müsste das doch prinzipiell gehen (da sich dann ja auch die HEX- Struktur ändert), oder? Aber egal... gibt es bei xor/rc 4 was zu beachten? Hab die noch nie benutzt, wie benutzte ich sie denn optimal? Edit: Ich hab jetzt mal folgendes probiert: Server erstellen (also BItfrost- build) bei der "pack with a custom Packer now" Meldung hab ich mit xor gecryptet, Key: 8b618h2t. Dann bei Bitfrost auf okay gedrückt. Wenn ich jetzt auf den server doppelklicke, bekomme ich folgende Meldung: 16- Bit-MS-DOS- Teilsystem: Die Ntvdm-CPU hat einen ungültigen Befehl entdeckt. CS:06db IP:0142 OP:8c 3f 38 dc 3b klicken sie auf schliessen... blabla Schliessen/Ignorieren. Das ist ja aber irgendwie nicht Sinn und Zweck der Sache, oder? + Multi-Zitat Zitieren
#4 4. September 2009 AW: Stealthen mit Olly Debug und in dem man hexcodes durcheinander wirft bzw durch andere austauscht die den gleichen effakt haben, kann man heut zutage keine guten avs mehr austricksen. es gibt mehr als nur signatur scans. wenn du dich mit programmierung auskennst google: DKOM + Multi-Zitat Zitieren