Howto: Stealth exe mit AV Devil 2 und einem Hexeditor

[PoLe]

iwie ists untergegangen... naja hier nochmal:

Code:

Ihr braucht: AV Devil 2 und den hexeditor XVI32 (den benutze ich, ist ganz ok)

1.Erstellelt den Trojanerserver
!!! VERGESST DAS PASSWORT NICHT, DASS IHR BEIM ERSTELLEN DES SERVERS BENUTZT HABT !!!

2.Deaktiviert (NICHT SCHLIESSEN) den AV Guard

3.Starte AV Devil 2 und öffne die server.exe die du erstellt hast.

4.Befolge die 2 Pop-up Anweisungen von AV Devil 2, die auftauchen.
(in dem Fall müsst ihr beim ersten Pop-up was auftaucht, einfach "OK" drücken, und beim zweiten sollt ihr bevor ihr "OK" drückt, den AV Guard wieder aktivieren)

5.Lasse AV Devil 2 alles durchscannen und immer wenn AntiVir vor dem Trojaner warnt einfach auf "Zugriff verweigern und datei belassen" clicken und dann auf OK.

6. Wenn im AV Devil 2 "alle offsets gefunden" steht, notiert sie euch irgendwo, oder lässt einfach AVDevil offen, denn die gefundenen Offsets brauchen wir gleich noch dringend wir gleich dringend!

7. Nun erstellen wir eine Kopie des Trojaners und verschieben ihn in einen anderen Ordner.

8. Jetzt öffnen wir den kopierten Trojaner mit dem Hexeditor.

9. Nun sehen wir 3 Spalten, in der Linken Spalte müssen wir zum ersten von AV Devil gefundenem Offset runterscrollen.

10. Dann suchen wir uns in der Spalte ganz rechts einfach nen Buchstaben, der euch irgendwie ins Auge springt und machen aus einem kleinem Buchstaben einen großen und umgekehrt. ( z.B. "B" -> "b" )

11. Nun speichern wir die Datei ab und führen Schritt 2 bis 5 nochmal aus.
wenn AV Devil das Offset nichtmehr findet, dann war es der Richtige Buchstabe, sollte er genau das selbe Offset nochmal finden, war es der falsche und wir müssen im Hexeditor den Buchstaben zurückumändern und uns einen Anderen suchen.

12. Sowas macht man so lange bis AV Devil nichts mehr findet und dann führt man den Trojaner testweise bei sich aus um zu schauen ob er auch nach den Veränderungen auch noch funktioniert( DAS NUR MACHEN, WENN EUER TROJANER EINE MÖGLICHKEIT HAT DEN SERVER VOM CLIENTEN AUS ZU LÖSCHEN!!! ). Ob er noch funktioniert könnt ihr schauen indem ihr, nach dem ausführen, den Trojanerclienten ausführt und euch mit der localip 127.0.0.1 zu euch selber verbindet.
Wenn er verbindet, könnt ihr testen, ob die Funktionen alle noch in akt sind. Wenn sie es sind, könnt ihr den Trojaner per Client von eurem Rechner löschen ( nicht die modifizierte server.exe ) und euch freuen einen gestealthten Trojaner zu haben!

PS: Das war mein erstes Tut zu Trojanern, ich hoffe ich konnte euch weiterhelfen, und an alle Profis die da mehr Ahnung von haben als ich, PM me für Verbässerungen! Denke auch, dass es genauso mit anderen AVs geht, probierts aus!

Alle Rechtschreib und Grammatikfehler ©2005-2009 by PoLe

[FormChanger]

ich hoffe jetzt kommen kine fragen mehr wie: wie hexe ich am besten xDD
danke fürs tut sollte alles erklären was zu erklären ist, wer fragen dazu hat soll einfach hexadezimal lernen -.-

[Marabunta]

eine frage hätte ich noch
wie kann man einen bifrost server vor av stealthen da der ja jetzt statt 3nurnoch 1offset hat und das hab ich noch etlichen versuchen und server rips einfach nicht hingekriegt hab auch crypter drüberrennen lassen und dann noch avfucker versucht aber av findets trotzdem...solange es funktioniert!!!

[Sirect]

Ich würde den Entry-Point mal verschieben.

[pommes08]

Genau das ist auch mein problem deshalb bin ich dir meinung das AV devil nicht mehr richtig mit AntiVir läuft. Zb AV devil findet 3 Offsets egal ob man die komplette zeile/zeilen ersetzt er AntiVir findet meinen trojaner trotzdem ......

[Marabunta]

das mit dem verschieben klappt nicht richtig ich hab mir einige v-tuts angesehn wo ich ansetzten muss bei dem bifiserver aber an den stellen steht was anderes -.- habs leider nochnet so hinbekommen mit dem ep verschieben ich such mal wieder nach solchen tuts...kennt ihr welche für bifi 1.2.1 oder die 1.2.1d privat version?

achtung ein v-tut gefunden:
http://free-hack.com/viewtopic.php?t...hlight=bifrost *freu*