BreakPoint Posted June 3, 2012 Share Posted June 3, 2012 Aqui hay varios Tip y Metodo para quitarte las Molestas firmas de "NOD32, Avast, KAV, F-prot, Heur." es una recopilacion que hice aqui se los dejo. Tip Para NOD32: Hola amigos, me encontraba desde ayer con un Nod32 tocandome las pelotas en cada mod que aplicaba el método de NeeD de Avirorro, para los que no habéis jugado a buscar variantes, veréis en muchos casos como nuestro colega Nod se viene a joder con sus firmas basureras.. Estas firmas son injector.CUL/DAS/DAF Estas firmas pueden saltar por varias razones, una de ellas es el aplicado de BugDll sobre MSVBVM60.DLL cuando el método de NeeD tambien es aplicado.. en ese caso dejad el .DLL (no siempre). Hasta hace bien poquito, se sacaba de la cabecera sin ninguna dificultad, pero al parecer los de nod se dieron cuenta rápido.. no sé si en algún stub aun sigue funcionando en cabecera. Al trapo: Dll insertada: Dinput.dll, Comdlg32.dll Lo que teneis que hacer es poner 00 en el 2E de dinput.dll, quedando así: This is the hidden content, please Sign In or Sign Up Es todo. Si en algun caso falla lo haceis con todas las dll que hayáis agregado con StudPE, NO CON LAS QUE YA ESTABAN. Espero que os sirva, la prueba ha sido realizada en al menos 10 encryptados diferentes, con las firmas citadas. Tip Para Avast: Bueno os dejo este sencillo "Tip" para fuckear algunas firmas de avast....Probado con: Win32:VB-PPJ [Drp] Win32:VB-PJT [Drp] De seguro ah de servir con alguna otras firmas Mas...lo que haremos sera irnos entre el offset 4300-500 y buscar el nombre del Proyecto, lo veremos repetidas veces pero nos vamos a la ultima ves que lo encontremos y simplemente lo modificaremos, lo podemos rellenar de 90, 00, 2E o cualquiera que deseen... This is the hidden content, please Sign In or Sign Up De esta forma nos quitamos esta y como dije algunas mas solo es cuestion de probar....Probado con tres stubs distintos..... Tip Para KAV o KIS: Hola Chicos para estrenar seccion os dejo este sencillo Tip ...que es para sacar la Worm.Win32.VBNA.b del kav...Antes quitando VB5! se iva pero ya arreglaron Eso & ahora al modificar VB5! Sale la Virus Worms VBNa.C y tocaba hacer Rit(ya le tenia Tip) & resulta que despues de hacer Rit salia La Heur.Win32.Genetik Bueno con este Truquillo que me ha funcionado hace Poco lo descubri si ya esta por aqui me avisan...Bueno lo que haremos sera abrir nuestro archivo con Hex Work Shop & Buscar La Ruta Del proyecto ok miramos antes del *( 2A ) y dos 00 en el segundo de para atras del astericos(*) reemplazamos el Segundo 00 atras del 2A por un 90. This is the hidden content, please Sign In or Sign Up O por alguna de las siguientes Combinaciones ya que el 90 no siempre Sirve: 90 8f 24 25 37 38 39 D0 D9 ok haciendo esto ya le diriamos a esa fastidiosa firma & nos evitariamos tener que sacar la vbna.C & la heur.Win32.Genetik Tip Para F-Prot: Buenas amigos, aqui os dejo este tip que descubrí hace tiempo, funciona 100 % con esta firma de F-prot y tb con la W32/VBTrojan.16!Maximus. Esa firma cae dentro de la ruta. Simplemente consiste en tapar lo que está señalado en negrita en hex por 00, tb saca la Gen:Heur.VB.Krypt.13 de BitDefender, Gdata y F-secure y en alguna ocasión me ha sacado la Mal/VB-BL de Sophos y Webroot. Sé que no es gran cosa pero si no tenéis el av os puede venir bien. This is the hidden content, please Sign In or Sign Up Otro Tip Para F-Prot: Hola muchachos, en una de las últimas mods que hice descubrí este pequeño detalle para esa firma de F-PROT, dicha firma venía unida a trojan 9 maximus u otras diferentes (tocar en la PE o a 10 bytes con 00 cerca de msvbvm60.dll y bye firma...). Bueno, a lo que voy, tras intentar algun tip de los que ya conocemos dije 'no debe andar muy lejos..' así que os pongo la imagen y os comento.. This is the hidden content, please Sign In or Sign Up Es como lo del Nod que puse hace poco, solo que en vez de haber 5 bytes entre @ y @, hay 7 bytes.. lo que teneis que hacer es taparlo con 90 ó 00, excepto las @, aunque si las @ no rompen las tapais tambien y listo. Como veis, está cerca de la ruta del proyecto (un poco antes).. Bueno, tras verlo busqué stubs con esa detección y los 3 que encontré me funcionó correctamente. Link to comment Share on other sites More sharing options...
.webp.8407a83ac96563f75e1c428a1f0d4c3e.webp)
.webp.9a04cec050a656fab081ac190f971c3f.webp)
Hack Tools Resurrection
Recommended Posts