FrEe
31.10.2005, 20:07
Das Stealthen eines Trojaners mit einem Hexeditor:
Zuerst macht man eine Kopie des Trojaners (server.exe.bak). Dann öffnet man den Trojaner,
mit dem Hexeditor, markiert die untere Hälfte (nur geschätzt), und schneidet sie aus. (shift-entf o.ä.). Dann speichert man die Datei und scannt sie mit einem Virenscanner.
Wenn der Trojaner erkannt wird, schneidet man nochmal die untere Hälfte weg. Dies macht man solange, bis er nicht mehr erkannt wird, Wenn er nicht mehr erkannt wird, nimmt man den zuletzt weggeschnittenen Teil, fügt ihn wieder hinzu und schneidet das obere Drittel weg.
Dies setzt man solange fort, bis man den Trojaner auf ein paar Bytes reduziert hat, so das
dass Wegschneiden eines einzelnen Bytes, den Trojaner vor dem Scanner tarnt. Dann sucht man diese Bytes in der Backupversion, und ersetzt sie durch im Assemblercode gleichwertige, oder vertauscht die Reihenfolge der Bytes.
Beispiel:
01F001DA
01F0: add eax, esi
01DA: add edx, ebx
ist gleichwertig mit
01DA01F0
01DA: add edx, ebx
01F0: add eax, esi
wenn man dies durchgeführt hat, testet man ob der Trojaner noch läuft und ob er erkannt wird. Wenn alles klappt, speichert man den Trojaner unter z.B. 'Sub7-Smod/AntiVir' und hat
einen tollen gestealthten Trojaner.
Zuerst macht man eine Kopie des Trojaners (server.exe.bak). Dann öffnet man den Trojaner,
mit dem Hexeditor, markiert die untere Hälfte (nur geschätzt), und schneidet sie aus. (shift-entf o.ä.). Dann speichert man die Datei und scannt sie mit einem Virenscanner.
Wenn der Trojaner erkannt wird, schneidet man nochmal die untere Hälfte weg. Dies macht man solange, bis er nicht mehr erkannt wird, Wenn er nicht mehr erkannt wird, nimmt man den zuletzt weggeschnittenen Teil, fügt ihn wieder hinzu und schneidet das obere Drittel weg.
Dies setzt man solange fort, bis man den Trojaner auf ein paar Bytes reduziert hat, so das
dass Wegschneiden eines einzelnen Bytes, den Trojaner vor dem Scanner tarnt. Dann sucht man diese Bytes in der Backupversion, und ersetzt sie durch im Assemblercode gleichwertige, oder vertauscht die Reihenfolge der Bytes.
Beispiel:
01F001DA
01F0: add eax, esi
01DA: add edx, ebx
ist gleichwertig mit
01DA01F0
01DA: add edx, ebx
01F0: add eax, esi
wenn man dies durchgeführt hat, testet man ob der Trojaner noch läuft und ob er erkannt wird. Wenn alles klappt, speichert man den Trojaner unter z.B. 'Sub7-Smod/AntiVir' und hat
einen tollen gestealthten Trojaner.