Ich habe das geschrieben weil ich dir Beweisen wollte das Avira es nicht nur erkennt wenn man ne Datei an die Stub hängt.Dann verschlüssele die Strings halt nochmal im RunPE , solange bis Avira ruhig ist.
Druckbare Version
Ich habe das geschrieben weil ich dir Beweisen wollte das Avira es nicht nur erkennt wenn man ne Datei an die Stub hängt.Dann verschlüssele die Strings halt nochmal im RunPE , solange bis Avira ruhig ist.
Nochmal encrypten bewirkt glaub ich auch nix.
Ich habe mal nach einander die verschiedenen Subs raus genommen
und dann gescannt. Die detection war immer da, auch nachdem ich jede sub einmal raus
genommen habe.
inmate welche runpe verwendest du in deinem crypter ?
Kannst du mir das original mal zukommen lassen ?
Greetz
Edit:
In der main die Strings habe ich auch mal verschlüsselt ohne erfolg. Tr.Dropper.Gen >.<
Das RunPE von Karcrack, da es das mir einzige bekannte ist welches unter Windows 7 läuft.Habe das Originale zZ nicht da, und HackHound ist down.
Doch du musst die Strings öfters verschlüsseln das hilft, glaub mir ;), lade mal das Projekt hoch ich mache es dir.
mfG
Mist hab jetzt das von mir verschlüsselte schon gelöscht >.<
Hab nur noch das Original von cobein hier:
http://ul.to/rz57rk
Ich werde jetzt mal das von Karcrack suchen.
Greetz
Edit:
Ist es diese RunPE die du nutzt:
Und was spricht eigentlich dagegen euer eigenes RunPE Modul zu programmieren?
Kannst du ja gerne tun wenn du es kannst.
Es gibt in Visual Basic keine injections methoden die nicht auf RunPE
basieren. Warum neu schreiben wenn es hunderte verschiedene Mods gibt ?
Ich selber könnte es auch nicht wenn ich erlich bin, aber wie dem auch sei
das ist nicht das Thema des Threades.
Greetz
Kann ich, habe ich. Allerdings nicht in VB, sondern in C. (da hat man wenigstens gescheite Header, die die PE-Strukturen und WinAPI-Funktionen definieren; das man das bei VB selber definieren muss sagst einem auch schon für welche Tätigkeiten MS VB (nicht) konzepiert hat)
Und wieso nicht?
Wenn du mit RunPE dieses spezielle Modul meinst und nicht die Technik, dann wäre es ein echtes Armutszeugnis, wenn jeder das nur kopiert.
Falls du mit RunPE die benutzte Technik meinst, so ist zu sagen, dass du auch auf andere Weise einen Crypter realisieren kannst.
Dabei müsstest du zwar die Stub in ASM schreiben, aber den Crypter könntest du nach wie vor in VB schreiben.
Ich verstehe nicht wie das NICHT Thema des Threads sein kann.
Wenn du dich darüber beschwerst, dass das Modul, das du benutzt erkannt wird wäre es doch das Beste dir dein eigenes Modul zu schreiben.
MfG. BlackBerry
Naja Thema des Thread ist "RunPe wird als Tr.Dropper erkannt"
und nicht, eigene Injections Methode in VB schreiben.
Ich habe mich in keinem meiner beträge beschwert das, dass module erkannt wird.
Habe ledentlich gefragt ob mir wer helfen kann die Detection zu umgehen.
Naja will nicht diskutieren hier,
suche eigentlich nur hilfe für das Dropper problem.
Greetz
Es gibt ein Currency RunPe module von Sonnykuccio kann es die Tage mal posten ;)