Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Making trojan undetectable

[es] :: Zaštita :: Making trojan undetectable

Strane: 1 2

[ Pregleda: 6376 | Odgovora: 22 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.verat.net



Profil

icon Making trojan undetectable14.08.2003. u 02:15 - pre 251 meseci
Dakle, znam da sakrijem trojanca, tako da ga Kaspersky ne prepozna, ali sta da radim sa Mcaffeom i Nortonom? Jel ima neko iskustva sa njima?
Sale_®
 
Odgovor na temu

byTer

Član broj: 10936
Poruke: 1221
*.ptt.yu

ICQ: 47761626


Profil

icon Re: Making trojan undetectable14.08.2003. u 12:44 - pre 251 meseci
Pokusaj da ga hvatas kad se startuje i spakujes trojanac, a onda ga raspakujes
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Making trojan undetectable14.08.2003. u 16:06 - pre 251 meseci
Da ga uhvatim kad se startuje???? cekaj, mogu da spakujem server sa UPXom i da ga onda scrambelujem, ali nekako taj scramble zajebe server, pa ne radi.. Inace, posle toga bi trebao da bude nedetektovan od strane Nortona i Mcaffea Ima li neki drugi nacin... Ustvari, trazim samo neki packer koji je malo manje poznat od UPXa i slicno, jer onda Norton ne moze da prepozna trojanca ako je zapakovan sa nekim nepoznatim packerom...
Sale_®
 
Odgovor na temu

byTer

Član broj: 10936
Poruke: 1221
*.ptt.yu

ICQ: 47761626


Profil

icon Re: Making trojan undetectable14.08.2003. u 22:41 - pre 251 meseci
Shvatam, ali ne znam
 
Odgovor na temu

Mikky

Član broj: 18
Poruke: 1563
*.verat.net

ICQ: 44582291


+58 Profil

icon Re: Making trojan undetectable15.08.2003. u 00:47 - pre 251 meseci
Ako ti je bas toliko stalo...Unajmi programera da ti napravi undectectable packer, ili jos bolje celog trojana.
Racunaj jedno $100-500 za ovaj poslic...
-I know UNIX, PASCAL, C, FORTRAN,
COBOL, and nineteen other high-tech
words.
 
Odgovor na temu

z3r0
Novi Sad

Član broj: 2947
Poruke: 22
62.108.125.*

ICQ: 177839551


Profil

icon Re: Making trojan undetectable19.08.2003. u 17:01 - pre 250 meseci
idi na sajt vc.netlux.org ili na vx.netlux.org
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.globalnet.hr



Profil

icon Re: Making trojan undetectable21.08.2003. u 00:27 - pre 250 meseci
imaju negdi na neti skriveni mali utility-i koji permutiraju izrsni kod programa...pa tako i trojana (bez gubitka funkcionalnosti, velicina se ne mijenja, samo se neke instrukcije zamjenjuju drugim iste funkcionalnosti). e sad di ih naci.... not 2 b telled by me :) a imades chak i neke trojane sa visoko-polimorfnim dekriptorima :))
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
220.73.165.*



Profil

icon Re: Making trojan undetectable21.08.2003. u 02:14 - pre 250 meseci
Ne postoje takvi programi zato sto je nemoguce znati da li ce neka instrukcja raditi nakon sto se promeni, zato sto nekad funkcija, nije funkcija nego predstavlja obican text.. Znaci mora jedna po jedna da se menja i onda posle da se testira da li to sve radi.... Naravno to mora da se radi u nezapakovanom fajlu... Tako da nema teorije da takvi programi postoje.... Cak je i pokusano napraviti tako nesto ali bezuspesno da ti sad ne objasnjavam zasto... Znaci, jedino resenje je naci neki packer koji ima enkripciju tako da ne moze da bude otpakovan od strane AV programa.. Ja znam dosta packera ali svi su detectable.... ato sam i trazio neki malo manje poznat javnosti... Po mogucnosti domaci...
Sale_®
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.globalnet.hr



Profil

icon Re: Making trojan undetectable21.08.2003. u 02:37 - pre 250 meseci
Citat:

Ne postoje takvi programi

postoje.
Citat:

zato sto je nemoguce znati da li ce neka instrukcja raditi nakon sto se promeni

duboko udahni i procitaj sto si upravo napisao...
Citat:

zato sto nekad funkcija, nije funkcija nego predstavlja obican text..

a nekad text nije text nego predstavlja fje? kakve nebuloze...
Citat:

Znaci mora jedna po jedna da se menja i onda posle da se testira da li to sve radi....

a zasto ne bi radilo kada zamjenske instrukcije imaju istu funkcionalnost. recimo mov eax, 0 = xor eax, eax + junkcode da se popuni praznina...
Citat:

Naravno to mora da se radi u nezapakovanom fajlu...

zapakiran file se ne izvodi normalno, kao nezapakiran?
Citat:

Tako da nema teorije da takvi programi postoje.... Cak je i pokusano napraviti tako nesto ali bezuspesno da ti sad ne objasnjavam zasto...


da quotam jedan od doticnih teoretski impossible-to-write programa:
Citat:

Lets imagine next thing.
We wrote a virus which partially permutates all code it can find -
in the CODE sections, binary files, etc.
Sure, it will be too hard to perform such thing in all meaning of
permutation, but its easy to replace some instructions or instruction
groups with their equivalents of the same length.
What will be achieved performing that hard task?

- EXECUTABLE FILES will be changed
- PACKED executables&packer checksums will be changed
- TROJANs&their checksums will be changed
(tested on some trojans - all became undetectable)
- VIRUSES&their checksums will be changed

So, IDA will not understand standard libraries.
Antiviruses will be unable to detect most of objects processed with
such mutation.

Of course probablity of meeting of two viruses on the same PC is low.
But anyway there are also lots of packers/trojans.
 
Odgovor na temu

Bojan Basic
Novi Sad

SuperModerator
Član broj: 6578
Poruke: 3996
*.verat.net

Jabber: bojan_basic@elitesecurity.org
ICQ: 305820253


+605 Profil

icon Re: Making trojan undetectable21.08.2003. u 14:30 - pre 250 meseci
Znaš li ime nekog od tih programa?
Ljubičice crvena, što si plava kô zelena trava.
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
220.73.165.*



Profil

icon Re: Making trojan undetectable21.08.2003. u 23:48 - pre 250 meseci
Dobro, sad cu da ti objasnim... Pre svega da kazem da sam sve vreme pricao o hex editiranju KAV detectable virusa... Znaci, da bi nasao offset koji KAV prepoznaje moras da koristis program koji se zove Senna offset finder, sto verovatno znas.. E, sad, verovatno znas da taj program ne moze da trazi offsets u zapakovanom fajlu.. Zato sam rekao da nema smisla hexovati zapakovan fajl.. Osim kad korists drugu metodu patchovanja, a to je polovljenje fajla na stotinu delova dok se ne nadje offset koji AVP registruje... Ima jos jedna metoda za koju znam, ali je meni komplikovana, i stvarno se ne razumem u to...
Znaci, ti kad promenis u hex editoru, recimo(lupam sad, posto ne znam napamet Opcodes..) "0F 3D" u "12 D3", pod pretpostavkom da oboje rade istu funkciju npr. ADD... E, i teoretski, posto rade istu funkciju, ako se zamene ta dva bajta, program bi trebao da radi normalno, jel tako... E, pa uglavnom radi, ali nekad i ne radi... Zasto? Nemam pojma... Zato za takvo patchovanje treba i naknadno testiranje... To je ono sto ja znam o ovoj metodi, koja inace radi samo za KAV... Reci slobodno ime programa koji tako nesto radi pa cu da ga probam i uveri me u suprotno... Jesi li ti nekad probao takav program????
Sale_®
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.globalnet.hr



Profil

icon Re: Making trojan undetectable23.08.2003. u 22:49 - pre 250 meseci
Mislio sam na Revert 4.0: http://z0mbie.host.sk/revert4.zip
Naravno da sam probao! ustvari ne bas na serverima od trojana, ali sam ga koristio da spojim recimo notepad.exe i binary jednog shellbindera. i radi! Pravo me cudi sto ga razni shareware programcici ne koriste. Po defaultu ce revert samo polimorfizirati file, a to je i vise nego dovoljno da skremblira tvoga trojana! :)
Citat:

F:\Documents and Settings\sunnis\Desktop>REVERT4.EXE notepad.exe newpad.exe --mode=virus:binder.bin
REVERT-4 1.00 PE-EXE/DLL polymorphizer MISTFALL 1.01-based (x) 2000-2002
right toolz for the right job --> http://z0mbie.cjb.net <--
■ reading binder.bin
■ reading notepad.exe
■ executing MISTFALL 1.01 engine:
■ analyzing PE headers
■ allocating memory
■ loading into virtual addresses
+ PE structure
+ imports
+ fixups
+ resources
■ sigman(0)
- loading signature table
- analyzing signatures
- applied signatures: 0
■ analyzing code
■ disassembling
■ sigman(1)
- analyzing new signatures
- new signatures: 99
- writing signature table
■ building tree
■ calling mutate()
<body>
<DD body>
■ recalculating addresses
■ rebuilding fixup table
■ recalculating addresses
■ rebuilding fixup table
■ recalculating pointers
■ assembling
■ recalculating checksum
■ complete
engine() returns OK
■ writing newpad.exe
■ exiting


PS: ako zelis integrirati trojana, on mora biti napisan offset-independat :)


[Ovu poruku je menjao Sundance dana 24.08.2003. u 02:50 GMT]
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.verat.net



Profil

icon Re: Making trojan undetectable24.08.2003. u 00:40 - pre 250 meseci
Ne mogu da verujem da nisam video taj sajt ranije.. Ima gomila interesantnih i korisnih stvari...
Samo jedan problem.. Jedino ovaj fajl reverse4 ne mogu da downladujem.. ZIP je ostecen... Imas li ti negde uploadovan taj program?
Sale_®
 
Odgovor na temu

Bojan Basic
Novi Sad

SuperModerator
Član broj: 6578
Poruke: 3996
*.verat.net

Jabber: bojan_basic@elitesecurity.org
ICQ: 305820253


+605 Profil

icon Re: Making trojan undetectable24.08.2003. u 01:06 - pre 250 meseci
Neće preko Explorer-a. Ja sam uspeo DAP-om.
Ljubičice crvena, što si plava kô zelena trava.
Prikačeni fajlovi
 
Odgovor na temu

weB_KiLeR

Član broj: 238
Poruke: 1317
*.vdial.verat.net



Profil

icon Re: Making trojan undetectable24.08.2003. u 01:14 - pre 250 meseci
E dobar ti ovaj sajt ali kakve su ovo satanisticke fore http://www.churchofsatan.com/ ??!?!
:)
 
Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.imu.carnet.hr



Profil

icon Re: Making trojan undetectable24.08.2003. u 10:05 - pre 250 meseci
Nisam ja odma povezao Sundance == Sunnis :-).
I to moderator!!! ;-).

bas gledam ovu vrazju crkvu - idioti!!!
Ima cak i prijevod na hrv. http://www.churchofsatan.com/Pages/Eleven_Hr.htm
Gluposti...
Leon Juranic
 
Odgovor na temu

weB_KiLeR

Član broj: 238
Poruke: 1317
*.panet.co.yu



Profil

icon Re: Making trojan undetectable24.08.2003. u 12:54 - pre 250 meseci
Ta je jos ok ali ovo :)
[quote]


Devet Sotonističkih Navoda

iz The Satanic Bible, ©1969

Anton Szandor LaVey


1. Sotona predstavlja ugađanje sebi umjesto apstinencije!

2. Sotona predstavlja vitalnu egzistenciju umjesto duhovnih laži!

3. Sotona predstavlja neoskvrnutu mudrost umjesto licemjerne samoobmane!

4. Sotona predstavlja dobrotu prema onima koji to zaslužuju umjesto ljubavi portrošene na nezahvalnike!

5. Sotona predstavlja osvetu umjesto okretanja dugog obraza!

6. Sotona predstavlja odgovornost odgovornima umjesto brige za psihičke vampire!

7. Sotona predstavlja čovjeka kao životinju, nekad bolju, često goru od onih koje hodaju na sve četiri koji je zbog svoje "božanske duhovnosti i intelektualne razvijenosti" postao najkrvoločnija od svih!

8. Sotona predstavlja sve takozvane "grijehe" jer svi vode ka fizičkoj, mentalnoj i emocionalnoj gratifikaciji.!

9. Sotona je uvijek bio najbolji prijatelj Crkve, jer ju održao u poslu sve ove godine!

[quote]

Preuzeto sa http://www.churchofsatan.com/Pages/NineStatements_Hr%20.htm

Dobro na neki nacin je i cool naravno to ne treba shvatati skroz ozbiljno :)
 
Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.imu.carnet.hr



Profil

icon Re: Making trojan undetectable24.08.2003. u 19:26 - pre 250 meseci
Da, na linku koji sam prije dao pise o covjekovoj kuci kao brlogu, a o covjeku stvarno govori ko o zivotinji, sto je na zalost istina :-).
Najvise mi se od svega svidja sto za altar koriste gole pice :))), a kad imaju neku stvarno pravu misu, onda najsvetije krscanske predmete guraju................u picu :-))). Idemo u sotonjare :-).
Leon Juranic
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.globalnet.hr



Profil

icon Re: Making trojan undetectable24.08.2003. u 19:30 - pre 250 meseci
koji ste vi bolesnici. little less conversation a little more action!
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
213.191.95.*



Profil

icon Re: Making trojan undetectable28.09.2003. u 22:13 - pre 249 meseci
E, postoje razni packeri koji sigurno naprave Virus undetectable, ali su vecina detectovani... Ali ako neko ima C++ source code on tavog programa, nek mi posalje, pa cu ja da ga malo izmenim i nece vise biti detectable.. Sve sam pretrazio i ne mogu da nadjem ni jedan c++ packer sa source kodom...
@Sunnis
Nisam uspeo nista da uradim sa Revert4 u slucaju trojanca... Mozda nisam stavio dobre --option, pa ako bi mogao da mi napises command line kako ti mislis da treba, npr.{ C:\revert.exe trojan.exe result.exe -stdsect -failbadop }
Sale_®
 
Odgovor na temu

[es] :: Zaštita :: Making trojan undetectable

Strane: 1 2

[ Pregleda: 6376 | Odgovora: 22 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.