hey.
wie macht man das weg , das avira die dropper.gen erkennt.?

http://free-hack.com/showthread.php?t=35492&highlight=virtualsize

bei dem programm klappot das nicht?
muss ich die stub fixxen oder die exe?
aber beide klappte nicht.


http://free-hack.com/showpost.php?p=331534&postcount=17

das blicke ich überhaupt nicht.



also welche methoden kennt ihr?

in dem tut how du modd von Tix.
kann das sein , dass er den PE header verändert und dadurch dropper.gen auch weggeht?


danke euch :)

koennt mich auch icq adden 459 307 007

Dropper werden meiner Information nach von nicht zusammen passenden Infos der Größe im PE-Header verursacht.
Aber wieso verwendest du nicht die Suche??
Hier http://free-hack.com/showthread.php?t=44355

so sieht es aus, im pe header steht die eigendliche größe der stub nach dem compilieren. wenn nun ein anderes programm hinten an die stub gehängt wird, ist die stub auf einmal größer, als es in der information steht. Es reicht schon, wenn man nur ein textdukument hinten anhängt und das "harmlose programm" wird als dropper erkannt.
was man dagegen machen kann ? Pe header fixxen, gibt auch ein tut dazu glaub ich.

einfach in lordpe auf rebuild pe gehen, datei auswählen und fertig =)

Man sollte die Dropper.Gen Detection nicht nur auf falsch eingebundene EOF Daten reduzieren. Aus eigener Erfahrung weiss ich, dass folgendes zu diesem Fund führen kann:


Falsche Informaionen über die Filegröße im PE-Header
Bestimmte Strings
Icons
Resourcen
RunPE

Vergewissere dich also erstmal, ob es nicht an etwas anderem liegt.

Genau versuche ersteinmal nur das Icon zu ändern.Das ist bei mir sehr oft die Ursache.^^

das icon vom server oder von der stub ändern?
http://free-hack.com/showthread.php?t=44355

der darin enthaltene link ist "down"

wie ändert man den PE header?

wie gefragt

in dem tut how du modd von Tix.
kann das sein , dass er den PE header verändert und dadurch dropper.gen auch weggeht?

also wenn das dadrin erklaert wird , gerade kb nochmal alles anzugucken :P , mache ich das mal.

oder icon ändern , halt nur von welcher datei :)?

Schaust du dir die Antworten an??
Die Frage ist kein Angriff sondern ernst gemeint.
Ich habe das schon gepostet.
http://free-hack.com/showthread.php?t=44355
Hier

Zum ändern verwendest du LordPE oder ähnliches.

ja , nur zeigt der bei dem link an [ die pdf datei in dem link ] das der root down ist.

und mit LordPE habe ich sowohl die exe als auch stub "rebuildPE" gemacht.

icon von der stub und exe geändert , alles nix geholfen :)
was gibts noch?
muss man den Pe header manuell ändern?

Hast du dir mal den Post von Dizzy angeschaut?

Viele Icons sind schon von den AV's detected - von demher musste iwelchen Crap als Icon nehmen oder dir selber einen machen.

Schonmal versucht die Fileinformationen mit Reshacker umzuändern?
Hilft in manchen Fällen.

Was für ein 'Programm' willst du überhaupt fixen?
Ein gebuildeter Server oder das Hauptprogramm/Crypter?

ja , nur zeigt der bei dem link an [ die pdf datei in dem link ] das der root down ist.
Lies mal weiter unten.
http://ebfe.de.vu/manualfix.pdf


muss man den Pe header manuell ändern?
ja

Zum entfernen von Dropper sollte man lieber nich LordPE benutzen, da der eine Signatur in der exe hinterlässt, auf die AVs anspringen können. Zum korrekten einbinden der EOF Daten sollte der PE Fix von EBFE am besten geeignet sein.
Wenn du das Icon auch schon geänder hast. bleiben ja immer noch ein Paar Punkte, die du noch überprüfen solltest.
Außerdem kann es sein, dass trotz korrekter Werte im PE Header EOF Daten erkannt werden. Da kannst du dann recht wenig gegen machen. ;)

BTW: Um zu testen, ob der Header erkannt wird (also die EOF Daten) kannst du einfach den Inhalt aller Sections mit Nullen überschreiben, sodass nurnoch der Header in der exe steht.
Falls es dann immernoch detected ist, liegt es an den EOF Daten.

Hast du dir mal den Post von Dizzy angeschaut?

Viele Icons sind schon von den AV's detected - von demher musste iwelchen Crap als Icon nehmen oder dir selber einen machen.

Schonmal versucht die Fileinformationen mit Reshacker umzuändern?
Hilft in manchen Fällen.

Was für ein 'Programm' willst du überhaupt fixen?
Ein gebuildeter Server oder das Hauptprogramm/Crypter?

ja habe ich gelesen :)

habe nen crypter mit ner externen stub.

und der ist 1/xx . . nur avira erkennt ihn als Dropper.gen.

meine frage ist nun.
muss ich die server.exe reshacken oder die stub?


fuckinghot , diesmal funktioniert die PDF datei , gestern und vorhin funktionierte die nicht :)


DizzY_D ich mach mich mal an die EBFE's PDF datei.
wenn mir wer helfen mag könnt ihr mich ja icq adden :).

werde danach auch meine FUD stub [ für Bifrost ! ] hier uppen :P

Ähm ^^ welcher version benutzt du von Bfirost?
Wenn es 1.2.1 .d ist und du die stub von Bifi cryptest und du dannach deine settings dranhängst, wird der so gut wie immer als TR/Dropper.Gen angezeigt ^^
Bifi ist da ziemlich blöd.. schonmal mit nem Poisen Server versucht? :P

Hast du zufälligerweise mal AV-Devil ausprobiert?

Vorweg, Trojaner sind generell crap, aber warum verwendet ihr noch alle die alten RATs? Nehmt doch Cerberus oder sowas, ist doch 10x besser ;)

@Shadowstyle: Stimmt nicht! ;) Es werden zwar die EOF Daten angehängt (~380 bytes sind das glaub ich), aber wenn man es richtig macht schlägt Antivir nicht an!

Versuch mal EBFE's Tutorial bzgl. der Werte im PE Header! Wenn du RawSize & VirutalSize + SizeOfImage richtig korrigierst dürfte der Dropper Geschichte sein! ;) (Checksum sollte man auch gleich fixxen) Außer wie Dizzy schon erwähnt hat, wenn andere Sachen die Detection verursachen.

ja also dropper.gen weis ich jetzt.

Nur ist nach dem EP verschieben meistens die .exe putti putti.
und wenn ich die ress hacke auch.

:( :(

gf0x AV Devil soll doch garnichtmehr klappen :o?

Nur ist nach dem EP verschieben meistens die .exe putti putti.

Hast du auch den EP angepasst im LordPE?
Dann ist es ja kein Wunder, dass nix geht ;)


gf0x AV Devil soll doch garnichtmehr klappen :o?Das ist nur ein Irrglaube von iwelchen Trojaner-Kiddy's die versucht haben einen nicht existierenden Offset zu fixen.

Probieren geht über studieren sag ich immer nur :cool:

ja EP ist verschoben und auch mit LordPE registriert