DizzY_D
Bei Avria mit TR/Dropper wirst du das nicht wegbekommen :-) mit bisschen String suchen :-)
Aber super TUT :-) LOB
Druckbare Version
DizzY_D
Bei Avria mit TR/Dropper wirst du das nicht wegbekommen :-) mit bisschen String suchen :-)
Aber super TUT :-) LOB
sehr nice tutorial ;) ich hätte auch noch interesse an den Antiemulatoren tuts aber wie bekommt man den letzt endlich dann was FUD wenn das dann auch wieder neue Detections aufwirft?
Was soll n das jetzt heißen? Meinst du ich weiß net wie ich TR/Dropper weg kriege? Doch weiß ich! Aber ich habs netmehr ins Tut aufgenommen, weil es mir erstmal nur um die Stub ging.
@Necrom
Da du bis jetzt der Erste (oder Zweite) bist, der da Nachfrage außert, werde ich das Tut noch net machen, denn für 2 Personen lohnt sich der Aufwand net...
Wie man die neuen Detections dann wieder wegbekommt weiß ich auch noch net aber möglich ist alles ;)
selbe methode anderer weg.
funktioniert eigentlich immer^^
Habe auch einmal kurz rüber geschaut sieht ganz schön nett aus :) werder es nich "ruchtig" durcharbeiten. :)
ich finde auch das was du am anfang meinst mit den strings solltest du doch nochmal
verständlich machen tuts genau dazu findet man eher nicht da hat Nobody schon recht
reupp es halt nochmal..ansonsten sehr schöne arbeit haste gut gemacht ;)
Jo!
Ich hätt da auch noch ein paar fragen!
1.ens: Wenn ich eine Signatur reinmach, findet PE-Detective immer noch 78% C#.
Einfach andere Siggi nehmen?
2.ens: ich hab das nicht verstanden, was ich tun soll und zwar:
vll. erklärts mir jmd :PZitat:
Um zu sehen, wo wir am Ende der Sig unseren JMP zu platzieren, tracen wir mal ein bisschen durch die Sig mit F8 Der Letzte Befehl ist ein POPAD. Nach diesem Befehl können wir noch ein Paar JMPs eingfügen und zu guter Letzt dann den JMP zum OEP.
und ich such noch ein tut für den letzten schritt, die offsets mit ollydbg umgehen,
das mach ich normalerweiße mit dem HexEditor, aber das für olly möchte ich auch
noch lernen.
Thx schonmal,
so far,
b0ris
Die Signatur ist hauptächlich dafür da, dass die AVs den OEP nicht nachverfolgen können. Daher ist es wichtiger, dass die Signatur viele JMPs/CALLs als, dass der Compiler nicht erkannt wird.
Durch das Tracen verfolgen wir, wo das Ende der Sig ist. Um die AVs noch mehr zu verwirren bauen wir noch ein Paar JMPs quer durch den code ein und springen danach zum OEP damit das Programm wieder normal ausgeführt werden kann.
Wieso willst du noch ein Tut? Wie das mit Olly geht wird doch beschrieben.
Wenn du dazu noch Fragen/Probleme hast frag ruhig hier.
MfG
sehr gutes tutorial! denke auch anfänger können mit ein bisschen köpfchen das verstehen.
zeigt wieder mal, dass man nicht alles von grund auf neu coden muss, um ein gewünschtes ergebnis zu erreichen...
wie gesagt, sehr gutes tut, weiter so!
PS: an den oberen poster: TR/Dropper kann man auch bypassen. avira ist übrigens auch anfälliger geworden, da die gewisse scannmuster verändert haben ;)
naja da es doch nicht alle verstehen kannste ja vielleicht mal versuchen
nen vid tut zu machen zu mindest wie man am anfang die strings entfernt.
also das auf was du nicht eingegangen bist