Also danke erst ma is nne super tut funzt bei mir auch, aber könnte mir vllt mal wer gaanz grob erklären was man da genau verändert wenn man die FF in 00 macht?
Druckbare Version
Also danke erst ma is nne super tut funzt bei mir auch, aber könnte mir vllt mal wer gaanz grob erklären was man da genau verändert wenn man die FF in 00 macht?
Du veränderst damit die Struktur des Servers. Antivir sucht nach bestimmten "Dingen" in den Programmen, um sie als böse einzu stufen. Mit diesem einfachen Trick "verarschst" du Avira. Avira findet keine "böse Stelle" mehr und dein Server wird UD.
Super tut, wäre aber noch besser wenn es bei mir funktionieren würde. Hab die Offsets gefunden und die FF in 00 geändert. Bin mir zu 99 % sicher das ich alles richtig gemacht hab. Zuvor hab ich themida ausgeführt. Bei manchen klappts, bei manchen nicht. :wink:
mein Virenscanner mukt da rum wenn ich ihn in AV Devil laufen lasse ist das normal?
und wenn ich dann offsets habe dann kann ich mit dem HEX editor net an die stelle weil ich keine buchstaben angeben darf O.o
ich bräucht hilfe ^^
danke schonmal
Wenn du AV Devil startest steht da das du antivir (Falls du antivir hast) kurz auschalten sollst. Dann wieder einschalten wenn es das steht. Das dein Antivir herumjamert ist normal. Du musst einfach auf "zugriff verweigern" klicken. Dann gehts auch immer schön weiter.
Das wurde hier aber schon mehrmals glaub ich gesagt :wink:
jo sry klappt..aber jetzt ein anderes problem..
//Edit Ich ersetze jetzt die "FF" mit "0" wenn ich einmal drücke kommt das raus --> 0F
mit einmal "0" drücken
wenn ich das dann weiter mache also 2 mal "0" drücken kommt logiescherweise das hier: --> 00
und wenn ich es dann abspeicher ist er natürlich nicht UD
kann mir jemand helfen?
Palme
kann man sich die von-bis bereiche nicht iwie markieren?
da verliert man nämlich schnell die übersicht. :?
hier noch ein vtut von einer anderen seite der klickt immer auf löschen warum auch immer :lol:
http://www.school-of-hack.org/soh/de...ile&file_id=14
achso wenn ich den offset wert eingebe und bissl rum switche den überblick verliere, zurück will und den wert erneut eingebe komme ich ganz wo anders an jedes mal :?:
ach noch was hat es jemand von euch auch in virtual pc laufen? bei schmiert es laufend ab 2.0 sowie 2.1.
MfG
Zitat:
Zitat von Palme
Testest du wie UD dein Server ist indem du es auf irgendeiner Seite Uploadest?
Wenn ja: Diese Seiten benutzen die PRO Version von Avira!
Wenn nicht: Benutze mal andere Crypter, Crypter Combos!
nee nee ich hab selbst Avira also die normale version...und da teste ich...das problem ist oder die frage..ist das so richtig wie ich das oben beschrieben habe also ist das ok...oder ändert das garnichts...also ich bekomme ja offsets und kann auch in die bereiche mit dem Hex Editor...wenn ich das ändern will passiert eben das oben genannte...Zitat:
Zitat von Crimeny
tja, muss mich wohl echt fürs tut bedanken *grins*
habs nur mit mcafee versucht und es beim erstn versuch gschafft *rofl*
da warn halt 3x FF's, die ich mit 00 umtauschen musste.
av-scann is momentan auf 11/32 statt 12/32
weiss vl jemand, die position von panda or esafe ?????????
wäre sehr hilfreich, wenn jeder sein senf hinzufügen könnte ;)
Code:Datei serverxXx.exe empfangen 2008.02.15 02:57:31 (CET)
Status: Beendet
Ergebnis: 11/32 (34.38%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
..Antivirus Version letzte aktualisierung Ergebnis
..AhnLab-V3 2008.2.15.10 2008.02.14 -
..AntiVir 7.6.0.65 2008.02.14 -
..Authentium 4.93.8 2008.02.14 -
..Avast 4.7.1098.0 2008.02.14 -
**AVG 7.5.0.516 2008.02.14 BackDoor.Bifrose.GEN
..BitDefender 7.2 2008.02.15 -
**CAT-QuickHeal None 2008.02.14 Trojan.Agent.bcn
**ClamAV 0.92.1 2008.02.15 Trojan.Agent-13411
..DrWeb 4.44.0.09170 2008.02.14 -
**eSafe 7.0.15.0 2008.02.14 Suspicious File
..eTrust-Vet 31.3.5538 2008.02.14 -
..Ewido 4.0 2008.02.14 -
..FileAdvisor 1 2008.02.15 -
..Fortinet 3.14.0.0 2008.02.15 -
**F-Prot 4.4.2.54 2008.02.14 W32/Bifrost.B.gen!Eldorado
**F-Secure 6.70.13260.0 2008.02.14 Bifrose.gen11
..Ikarus T3.1.1.20 2008.02.15 -
..Kaspersky 7.0.0.125 2008.02.15 -
..McAfee 5230 2008.02.14 -
..Microsoft 1.3204 2008.02.14 -
..NOD32v2 2876 2008.02.14 -
**Norman 5.80.02 2008.02.14 Bifrose.gen11
**Panda 9.0.0.4 2008.02.14 Suspicious file
..Prevx1 V2 2008.02.15 -
..Rising 20.31.30.00 2008.02.14 -
**Sophos 4.26.0 2008.02.14 Sus/UnkPacker
**Sunbelt 2.2.907.0 2008.02.14 VIPRE.Suspicious
..Symantec 10 2008.02.15 -
..TheHacker 6.2.9.220 2008.02.14 -
..VBA32 3.12.6.1 2008.02.14 -
..VirusBuster 4.3.26:9 2008.02.14 -
**Webwasher-Gateway 6.6.2 2008.02.14 Virus.Win32.FileInfector.gen (suspicious)
bedanke mich mal im vorraus ;)
Schön zu hören das jemandem geholfen wurde :)
Falls weitere Fragen im Raum sind --> sofort hier im Thread melden bitte!
Added after 4 minutes:
Zitat:
Zitat von Palme
Hmm, ich habe in einem T-TuT gesehen, dass auch alle "00" in "FF" gewechselt wurden :P ich weiß nicht ob das stimmt oder hilft, aber vielleicht kannst du das ja mal versuchen!
also av devil findet bei bifi 3 offsets das dritte ist sehr leicht weg zu hexxen
einfach wo die ganzen nullen sind in der mitte iwas rein egal was
beim ersten muss man schon mehr ändern.
das schwehrste ist des zweite offset entweder man zerhexxt ihn oder
einige funktionen gehen nicht mehr und der server schmiert immer ab braucht man viel gedult da muss man nach jeder änderung schauen ob der server noch funzt tut er das ist er scan & runtime ud gegen antivir naja und mit den 00 / FF so einfach ist es dan leider nicht und nimm am besten Hex-Editor MX ist übersichtlicher wie hex workshop.
greetz
Ach man, das klappt einfach nicht so wie es soll, trotz gutem tut...
Entweder ich bekomm den Server nicht ud oder ich zerstör ihn. :evil: :evil: :evil:
Was ich vergaß zu meinem TuT zu schreiben, ich benutzte einen server von Universal 1337 v2!
Mit Bifrost habe ich es mal versucht, es ist wirklich sehr schwer ihn zu hexen.
Hallo ,
also ich bin zwar nicht so der Trojaner Freund aber mich hat es jetzt einfach gereizt das mal zu testen ^^
Was ich gemacht habe:
- Bif server erstellt
- mit 2 Pub Cryptern drüber
Dann schön mit AV Devil alles suchen lassen und dann ausprobiert - immer hats mir den server zerhauen ka wieso - Naja dann habe ich einfach mal "nur" aus den ersten 2 Reihen die FF's gebanned !
hier mein ergebniss :)
http://img3.imagebanana.com/img/n7ajnilg/thumb/UD.JPG
ps: bei VT will ich ihn nicht uppen weil sonst die ganze arbeit von 2 stunden fürn arsch wäre ^^
pss: Fast vergessen - Das TUT ist sehr gut / Ich habe vorher überhaupt nichts gehexet oder i-wie mit AvDevil gearbeitet - Nun bin ich wieder ein wenig schlauer thx dafür ! 5 Stars tut :)
Vielen dank :D man hört doch gerne, dass man andere Leute zu was anspornen kann mit solch einer kleinen Hilfe :P
Also TUT ist soweit in Ordnung . Allerdings ist da keine Spur von "FF" in meinem HEX ;/ Was soll ich da machen ?
ich weiß nicht wie oft ich das noch in dieses forum schreiben soll ^^
also du musst nicht undbedingt FF zu 00 ändern. Du kannst auch wenn da z.B. F6 steht das zu 06 machen, also auch enzelne F's. Kannst auch ganz rechts in der spalte großbuchstaben in kleinbuchstaben mach und umgekehrt
großartig :D :oops:
Endlich kann ich mein Server Ud machen :D
Bei mir meldet sich immer AVIRA und dann stoppt Av Devil2 und wenn ich den Guard deaktiviere funktioniert das Suchen nicht.
Meines Wissens nach gibt Viruschief nun auch weiter, so jedenfalls meine Erfahrung (allein schon weil sie eben die Updates der AV-Produkte bekommen, da ist die Gefahr schon groß).Zitat:
Zitat von ice2k
Hmm...Bei mir ist es so das avira meine server.exe nich schädlich findet.
Also es kommt kein alarm erst wenn ich ich server.exe öffne...
Und bei AV Devil 2 kommt dann undetected also er findet nichts ...
Das kommt, weil der Server NUR SD (scantime = Antivirus untersucht die Datei, jedoch nicht, wenn sie läuft) und nicht RT (runtime = wärend die Datei in benutzung ist)
Du musst deinen Server dann anders crypten, mit einem RT Crypter! Und dann nochmal mit AvDevil bearbeiten.
habe ein problem unzwar wurden bei mir folgende offsets gefunden
http://img3.imagebanana.com/img/g2scheub/01.jpg
diese kann ich aber nicht in die "Suchmaske" bei Goto=>offsets eingeben
http://img3.imagebanana.com/img/9kqmi1j4/02.jpg
warum nicht?
nutze Pi 2.3.2[/img]
hallo,
ich habe das problem dass sich immer avira meldet wenn ich av devil nach dem server nach offsets suche. weild er av devil macht ja ein ordner der sich "test" nennt. und da sind dateien die er während dem vorgang schreibt. und wenn ich immer auf ignorieren klicke dann zeigt es mir am ende die offsets von dem "test" ordner an. kann jemand helfen? danke euch riesig!
MFG TIll
Edit/ den ordner in avira auf der liste zu tun die avira NICHT scannen soll, nützte auch nichts, da av devil ja immer neue dateien schreibt :(
Könnt wer reuppen, is down. Danke!
Hey ich hab folgendes Problem :
Bei mir findet er zwar die offsets des wars dann aber auch schon...
dann alle offsets gefunden mehr nicht ...
nicht wo sie anfangen und aufhören woran kann des liegen ???
@ Shereza :
beschreib doch mal ein bisschen genauer.
findet er jetzt die offsets oder nicht ?
wenn ein offset gefunden wird, steht das doch sofort da.
also wie können offsets gefunden werden und nicht da stehen ?
oder verstehe ich jetzt was falsch ???^^
Am besten du verlinkst mal einen Screen von deinem fertigen Offsets. Also nachdem AvDevil fertig ist.
(bitte wirklich verlinken und nicht das Bild hier reinstellen)
So also hab jetzt ein server nochmal erstellt...
jetzt lade ich denn mitt avdevil ich stell auch mal ein screeny rein .... wenn es gehen würde ...
es steht dort
alle offsets gefunden und mehr nicht
@ Crimeny
wie meinst des?
Wie "scherffi1000" im Post oben es auch schon gemacht hat, nur das du das Bild verlinken sollst, anstatt es hier einzufügen.
Also benutz [url] anstatt [img].
Ok?
Mit Bildern kann man leichter erklären als nur mit Worten.
so ich hoffe des klappt :
http://img3.imagebanana.com/img/gmgz...vdevil.bmp.png
http://img3.imagebanana.com/view/gmgzd9i0/avdevil.bmp
Ok, jetzt verstehe ich was du meinst.
Dein Antivir erkennt die Datei die du in den AvDevil gesteckt hast aber trotzdem als Virus/Trojaner/Stealer?
Eigentlich müsste sie gegen diesen Antivirus UD sein.
ich hab die nichmal gecryptet den sevrer also der muss eig. dected sein was anderes is gar net möglich
Ok, also du hast Antivir bei dir installiert, hast den Aktivschutz ausgeschaltet, hast die Datei in AvDevil geladen, dann als die Nachricht kam "Bitte den Aktivschutz anschalten...." hast du den Aktivschutz von Avira wieder angeschaltet und dann einfach laufen lassen. Richtig so?
Das ist der Ablauf, der genau so gemacht werden MUSS.
ja genauso hab ichs gemacht also so wie crimney beschrieben kam aber jede sekunde ne viren warnung von av
ich hab den fehler aus gemacht, haste ausnahmen bei av eingestellt und av devil fällt darunter?!
nein avdevil ist nicht bei den ausnahmen dabei ,....
ach mand es soll mal bei mir funktionieren und zwar von anfang an :D ^^ des wäre mal toll wenn des ding machen würde was ich will
Anscheinend gibts mehr Probleme, guck dir mein Video TuT an:
http://free-hack.com/viewtopic.php?t=49564
Du brauchst vielleicht noch diesen Codec, um es mit Bild abspielen zu können:
http://download.techsmith.com/tscc/tscc.exe
Wenn du es genauso machst, wie ich es hier gemacht habe, funktioniert alles garantiert.
ich habs ;-)
ich hab auf ignorieren und nicht auf zugriff verweigern ^^
geklickt
wenn die datei gegen sein av UD ist, dann kommt doch ne meldung bei AvDevil das kein virus/troj gefunden wurde.Zitat:
Zitat von Crimeny
aber problem wurde ja jetzt behoben :)