Metodo XOR by cLaRoScUrO

**!x0k.** · 15/03/2009 16:02

Metodo XOR by cLaRoScUrO

Bueno aqui les enseñare a hacer indetectable su Troyano o Crypter mediante el Metodo XOR, este metodo va muy bien para modificar las firmas pero no muy bien para la Heuristica. Bueno empezemos, vamos a necesitar estos programas:
*Olly Dbg
*Hex WorckShop o cualquier editor Hexadecimal
*Topo
Bueno les cuento en que consiste este metodo, si abrimos algun server o stub de algun crypter con algun editor Hexadecimal, veremos algo asi:

[Dear Guest/Member you can't see link before replyclick here to register]

Ahora suponiendo y aclaro es una supocicion ya que tome una firma al azar y ustedes lo aharan con una que detecte su antivirus o los antivirus, esta claro, bueno suponiendo que la firma detectada sea 45 como muestra la imagen esto es lo que haremos, vamos a INICIO>EJECUTAR: y escribimos "calc" sin las comillas o simplemente abrimos la calculadora de windows :P y la ponemos en Hex y hacemos esta operacion:

45 XOR 0E = 4B
4B XOR 0E = 45

Se dan cuentan? el XOR es reversible y lo que hara en cambiar la firma detectada asi no lo detectara su antivirus, pero si solo hacemos esto el server o crypter quedara inutilizable, por lo que tendremos que agregar un pequeño codigo que lo que hara es que al ejecutarse nuestro server en memoria cambia la firma cambiada por la original, espero se me entienda...
Bueno continuamos ya que esto es solo teoria hasta el momento.
Vamos a nuestro Olly y abrimos nuestro server o stub (para este ejemplo use el server del Bifrost) y anotamos la direccion del entrypoint que la primera que aperece en el Olly tal cual se ve en la imagen, esta la usaremos mas adelante.

[Dear Guest/Member you can't see link before replyclick here to register]

Bien este paso solo era para anotar el Entrypoint ahora continuamos...
Teniendo nuestra firma cercada y como dije suponiendo en mi caso que sea "45" como la imagen y habiendo hecho la operacion en la calculadora la cambiamos por el resultado del XOR.
IMPORTANTE: No te olvides anotar el offset donde modificaste la firma ya que lo vamos a necesitar mas adelante.

[Dear Guest/Member you can't see link before replyclick here to register]

y guardamos nuestro server o stub sea el caso... bien esto estara inservible asi que tendremos que agregar ese pequeño codigo que les decia anteriormente pero antes debemos hacer un lugar para meter este codigo y que apunte al Entrepoint o inicio de nuestro ejecutable, para ello utilizaremos el Topo, lo abrimos marcamos las opciones como la imagen y le damos a Do It!

[Dear Guest/Member you can't see link before replyclick here to register]

Bueno continuamos ahora vamos a nuestro Olly y abrimos nuestro server ya pasado por el topo y se vera algo asi:

[Dear Guest/Member you can't see link before replyclick here to register]

Bien ahora estando aqui hacemos click derecho con el mouse y vamos a View... Executable file... como en la imagen:

[Dear Guest/Member you can't see link before replyclick here to register]

Nos encontramos con otra pantalla, donde apretaremos Control + G y en cuadro que nos sale metemos el offset donde modificamos la firma (que le dije antes que anotaran) y le damos OK

[Dear Guest/Member you can't see link before replyclick here to register]

Ahora ya nos encontramos en el offset que habiamos modificado como podran ver... y ahora lo hacemos es teniendo seleccionado el offset al que nos trasladamos es click derecho del mouse y vamos a View image in Disassembler.

[Dear Guest/Member you can't see link before replyclick here to register]

Nos lleva otra vez a la primer pantalla del Olly en la direccion donde modificamos nuestro offset, aqui lo que hacemos es anotar la direccion de este que en mi caso es 0040559A.

[Dear Guest/Member you can't see link before replyclick here to register]

Vamos que ya casi terminamos!!! XD ahora cerramos y volvemos a abrir nuestro server (el que pasamos por el topo claro) o le damos en el Olly al botoncito verde con dos flechitas << o de retroceder y volvemos a la primer pantalla...

[Dear Guest/Member you can't see link before replyclick here to register]

Bien ya solo nos queda meter nuestro pedazito que es este

Código:

MOV EAX,0040559A
XOR BYTE PTR DS:[EAX],0E
JMP 004074ED

Bien este codigo lo que hara es, la primer linea guardara la posicion de la firma que modificamos en el registro, la segunda linea aplicara el XOR como lo habiamoes hecho en la calculadora y la ultima linea hace un salto a donde comienza nuestro ejecutable o sea el Entrypoint.
Bien para insertar nuestro codigo hacemos click derecho sobre alguno de los NOP que tenemos y vamos donde dice Assemble y escribimos la primer linea y le damos en el boton Assemble y hacemos lo mismo con las otras dos lineas.

[Dear Guest/Member you can't see link before replyclick here to register]

Una vez que hallamos inseratado todo el codigo ya solo nos queda guardar nuestra aplicacion, para ello nos posicionamos sobre alguna de las modificaciones que hicimos y hacemos click derecho del mouse, vamos Copy to executable, All modifications y en la ventanita que nos sale Copy all...

[Dear Guest/Member you can't see link before replyclick here to register]

Y en la siguiente pantalla otra vez click derecho del mouse, Backup, Save to data to file.. y lo guardamos con el nombre que queramos...

[Dear Guest/Member you can't see link before replyclick here to register]

Y ya terminamos... no fue tan dificil no? ahora probar que funciona...

[Dear Guest/Member you can't see link before replyclick here to register]

Bueno como ven funciona, no sera indetectable a algun antivirus porq recuerden que tome una firma al azar, no una que detectara algun antivirus.

Bueno espero les sea util y sepan disculpar errores si los hay, este tutorial lo hice basandome en el tuto de leos_79 [Dear Guest/Member you can't see link before replyclick here to register] posteado en [Dear Guest/Member you can't see link before replyclick here to register]

saludos y hasta la proxima.

Paquete de Programas:

[Dear Guest/Member you can't see link before replyclick here to register]
[Dear Guest/Member you can't see link before replyclick here to register]
[/HIDE-THANKS]

Incluye SignatureZero para que busquen las firmas XD

Hecho pura y exclusivamente para PortalHacker.net si queres copiar este tutorial respeta las fuentes y autores.

by cLaRoScUrO

[Dear Guest/Member you can't see link before replyclick here to register]

**Milo_EscorpioN** · 15/03/2009 20:24

Muy weno bro ;)

**v200509** · 16/03/2009 15:49

gracias por manual lo probaremos
saludos

**~~DONRULEZZ~~** · 24/03/2009 18:53

Can post english verson plzzzzzzzzzzzzzzz request plzzzzzzzzzzzzz

**!x0k.** · 24/03/2009 18:56

Iniciado por DONRULEZZ [Dear Guest/Member you can't see link before replyclick here to register]

Can post english verson plzzzzzzzzzzzzzzz request plzzzzzzzzzzzzz

google Translate

**!x0k.** · 06/07/2009 19:00

Iniciado por berke0606 [Dear Guest/Member you can't see link before replyclick here to register]

why here why not another part?

45 XOR 0E = 4B
4B XOR 0E = 45

is an example,you must change offsets detected by the antivirus

**!x0k.** · 20/10/2009 20:33

topo 1.2
[Dear Guest/Member you can't see link before replyclick here to register]

**nemkec** · 20/10/2009 21:05

not worked for me got some error with BI server anyway is decrease file detectabilty form 18 to 13, for poison server not gives error but not working, decreases detectability from 20 to 18, so... can make it fun anyway if it get working

Tema: Metodo XOR by cLaRoScUrO

Herramientas

Visualizar

Metodo XOR by cLaRoScUrO

Permisos de Publicación