Pokusaj da ga hvatas kad se startuje i spakujes trojanac, a onda ga raspakujes

Da ga uhvatim kad se startuje???? cekaj, mogu da spakujem server sa UPXom i da ga onda scrambelujem, ali nekako taj scramble zajebe server, pa ne radi.. Inace, posle toga bi trebao da bude nedetektovan od strane Nortona i Mcaffea Ima li neki drugi nacin... Ustvari, trazim samo neki packer koji je malo manje poznat od UPXa i slicno, jer onda Norton ne moze da prepozna trojanca ako je zapakovan sa nekim nepoznatim packerom...

Shvatam, ali ne znam

Ako ti je bas toliko stalo...Unajmi programera da ti napravi undectectable packer, ili jos bolje celog trojana.
Racunaj jedno $100-500 za ovaj poslic...

idi na sajt vc.netlux.org ili na vx.netlux.org

imaju negdi na neti skriveni mali utility-i koji permutiraju izrsni kod programa...pa tako i trojana (bez gubitka funkcionalnosti, velicina se ne mijenja, samo se neke instrukcije zamjenjuju drugim iste funkcionalnosti). e sad di ih naci.... not 2 b telled by me :) a imades chak i neke trojane sa visoko-polimorfnim dekriptorima :))

Ne postoje takvi programi zato sto je nemoguce znati da li ce neka instrukcja raditi nakon sto se promeni, zato sto nekad funkcija, nije funkcija nego predstavlja obican text.. Znaci mora jedna po jedna da se menja i onda posle da se testira da li to sve radi.... Naravno to mora da se radi u nezapakovanom fajlu... Tako da nema teorije da takvi programi postoje.... Cak je i pokusano napraviti tako nesto ali bezuspesno da ti sad ne objasnjavam zasto... Znaci, jedino resenje je naci neki packer koji ima enkripciju tako da ne moze da bude otpakovan od strane AV programa.. Ja znam dosta packera ali svi su detectable.... ato sam i trazio neki malo manje poznat javnosti... Po mogucnosti domaci...

postoje.

duboko udahni i procitaj sto si upravo napisao...

a nekad text nije text nego predstavlja fje? kakve nebuloze...

a zasto ne bi radilo kada zamjenske instrukcije imaju istu funkcionalnost. recimo mov eax, 0 = xor eax, eax + junkcode da se popuni praznina...

zapakiran file se ne izvodi normalno, kao nezapakiran?


da quotam jedan od doticnih teoretski impossible-to-write programa:

Znaš li ime nekog od tih programa?

Dobro, sad cu da ti objasnim... Pre svega da kazem da sam sve vreme pricao o hex editiranju KAV detectable virusa... Znaci, da bi nasao offset koji KAV prepoznaje moras da koristis program koji se zove Senna offset finder, sto verovatno znas.. E, sad, verovatno znas da taj program ne moze da trazi offsets u zapakovanom fajlu.. Zato sam rekao da nema smisla hexovati zapakovan fajl.. Osim kad korists drugu metodu patchovanja, a to je polovljenje fajla na stotinu delova dok se ne nadje offset koji AVP registruje... Ima jos jedna metoda za koju znam, ali je meni komplikovana, i stvarno se ne razumem u to...
Znaci, ti kad promenis u hex editoru, recimo(lupam sad, posto ne znam napamet Opcodes..) "0F 3D" u "12 D3", pod pretpostavkom da oboje rade istu funkciju npr. ADD... E, i teoretski, posto rade istu funkciju, ako se zamene ta dva bajta, program bi trebao da radi normalno, jel tako... E, pa uglavnom radi, ali nekad i ne radi... Zasto? Nemam pojma... Zato za takvo patchovanje treba i naknadno testiranje... To je ono sto ja znam o ovoj metodi, koja inace radi samo za KAV... Reci slobodno ime programa koji tako nesto radi pa cu da ga probam i uveri me u suprotno... Jesi li ti nekad probao takav program????

Mislio sam na Revert 4.0: http://z0mbie.host.sk/revert4.zip
Naravno da sam probao! ustvari ne bas na serverima od trojana, ali sam ga koristio da spojim recimo notepad.exe i binary jednog shellbindera. i radi! Pravo me cudi sto ga razni shareware programcici ne koriste. Po defaultu ce revert samo polimorfizirati file, a to je i vise nego dovoljno da skremblira tvoga trojana! :)


PS: ako zelis integrirati trojana, on mora biti napisan offset-independat :)


[Ovu poruku je menjao Sundance dana 24.08.2003. u 02:50 GMT]

Ne mogu da verujem da nisam video taj sajt ranije.. Ima gomila interesantnih i korisnih stvari...
Samo jedan problem.. Jedino ovaj fajl reverse4 ne mogu da downladujem.. ZIP je ostecen... Imas li ti negde uploadovan taj program?

Neće preko Explorer-a. Ja sam uspeo DAP-om.

E dobar ti ovaj sajt ali kakve su ovo satanisticke fore http://www.churchofsatan.com/ ??!?!
:)

Nisam ja odma povezao Sundance == Sunnis :-).
I to moderator!!! ;-).

bas gledam ovu vrazju crkvu - idioti!!!
Ima cak i prijevod na hrv. http://www.churchofsatan.com/Pages/Eleven_Hr.htm
Gluposti...

Ta je jos ok ali ovo :)
[quote]


Devet Sotonističkih Navoda

iz The Satanic Bible, ©1969

Anton Szandor LaVey


1. Sotona predstavlja ugađanje sebi umjesto apstinencije!

2. Sotona predstavlja vitalnu egzistenciju umjesto duhovnih laži!

3. Sotona predstavlja neoskvrnutu mudrost umjesto licemjerne samoobmane!

4. Sotona predstavlja dobrotu prema onima koji to zaslužuju umjesto ljubavi portrošene na nezahvalnike!

5. Sotona predstavlja osvetu umjesto okretanja dugog obraza!

6. Sotona predstavlja odgovornost odgovornima umjesto brige za psihičke vampire!

7. Sotona predstavlja čovjeka kao životinju, nekad bolju, često goru od onih koje hodaju na sve četiri koji je zbog svoje "božanske duhovnosti i intelektualne razvijenosti" postao najkrvoločnija od svih!

8. Sotona predstavlja sve takozvane "grijehe" jer svi vode ka fizičkoj, mentalnoj i emocionalnoj gratifikaciji.!

9. Sotona je uvijek bio najbolji prijatelj Crkve, jer ju održao u poslu sve ove godine!

[quote]

Preuzeto sa http://www.churchofsatan.com/Pages/NineStatements_Hr%20.htm

Dobro na neki nacin je i cool naravno to ne treba shvatati skroz ozbiljno :)

Da, na linku koji sam prije dao pise o covjekovoj kuci kao brlogu, a o covjeku stvarno govori ko o zivotinji, sto je na zalost istina :-).
Najvise mi se od svega svidja sto za altar koriste gole pice :))), a kad imaju neku stvarno pravu misu, onda najsvetije krscanske predmete guraju................u picu :-))). Idemo u sotonjare :-).

koji ste vi bolesnici. little less conversation a little more action!

E, postoje razni packeri koji sigurno naprave Virus undetectable, ali su vecina detectovani... Ali ako neko ima C++ source code on tavog programa, nek mi posalje, pa cu ja da ga malo izmenim i nece vise biti detectable.. Sve sam pretrazio i ne mogu da nadjem ni jedan c++ packer sa source kodom...
@Sunnis
Nisam uspeo nista da uradim sa Revert4 u slucaju trojanca... Mozda nisam stavio dobre --option, pa ako bi mogao da mi napises command line kako ti mislis da treba, npr.{ C:\revert.exe trojan.exe result.exe -stdsect -failbadop }

Kako mislis da nisi uspio nista da napravis? Server od trojana ne radi or what? Znam da neki trojani (za sub7 recimo sigurno) koriste offset-based strukturu u memoriji u koju spremaju postavke nakon sto ih editiras sa editserverom. Moguce da ih alatich zanemaruje ako nisu propisno postavljeni unutar samog filea. Pokusaj sa nekim najobicnijim open-source backdoorom kompajliranim u nekom egzoticnom compileru i onda morfiraj sa REVERT4, pa ako onda ne bude radilo...

PS: Nemoj od mene ocekivati da cu ti nuditi konkretne odgovore na pitanja ovakvog tipa, ionako je ovo manje-vise barely (il)legal :-) Potrudi se malo.

Pa pokusao sam da revertujem vise trojanaca, npr. CIA, Beast... Prvi je VB, drugi delphi trojan, i pokusao sam samo client da revertujem i pojavi se error, i nece da se ucita.. Tako da nisam ni pokusavao sa serverima.. Uglavnom.. Oba clienta su nezapakovana UPXom niti nijednim drugm packerom, tako da u tome nije problem.. Verovatno Revert radi samo na prostijim programima..