Hi,
Habe euch mal geschrieben wie ihr ne Shark Stub Antivir proof macht...Also UD! Viel Spaß damit.
1. Antivir UD machen (UD=Undetected)
dafür brauchst du das Programm AV-Devil, Hex-Editor MX und Antivir (geupdated).
AV-Guard unten rechts deaktivieren.
AV-Devil starten und den Trojaner bzw die stubdatei auswählen, 1x ok, av-Guard aktivieren, wieder 1x ok und nun laufen lassen. Es wird immer wieder vorkommen (bis zum ende) das AV meint das ein Trojaner auf deinen PC zugreifen will einfach immer "ignorieren" drücken. bis das Program Fertig ist.
Wenn es fertig ist dürfte es so dastehen.
1 Fund.
Anfang fffffffffffffe
ende ffffffffffffff
2 ...
...
nun öffnest du den Hex Editor und schaltest vorher halt wieder AV-Guard aus. Du suchst den Anfang fffffffffffe und suchst dort nach "00" und änderst diese in "FF" ab. wenn du das mit allen gemacht hast und die datei abspeicherst ist der Trojaner nichtmehr AV-Detected.
2. Kaspersky UD machen.
Dieses Tutorial habe ich mir geben lassen daher ich keine lust hab viel zu machen.
"Was ihr braucht:
• OllyDbg 1.10
• PEditor 1.7
• EXE-Datei
• Editor
So wird's gemacht:
1. Ihr öffnet eure EXE-Datei in OllyDbg. Bei Fragen einfach "Ja" klicken!
http://img213.imageshack.us/my.php?image=pic1do3.gif
2. Ihr kopiert alles von "PUSH EBP" bis "CALL DWORD..." (markieren, Rechtsklick, Copy > To Clipboard). Dann öffnet ihr den Editor (Start > Ausführen > "notepad") und fügt dort alles durch Rechtsklick > Einfügen ein.
http://img240.imageshack.us/my.php?image=pic2sp0.jpg
3. Dann schreibt ihr editiert ihr alles wie auf dem Bild zu sehen!
http://img122.imageshack.us/my.php?image=pic3nr7.jpg
4. Dann sucht ihr euch eine freie Stelle (wo z.B. nur "DB 00" steht). z.B.: 00407673.
Dort schreibt ihr dann alles rein, was ihr in den Editor kopiert habt, außer die letzte Zeile. Dann sollte das ganze so aussehen:
http://img216.imageshack.us/my.php?image=pic4ao8.jpg
5. Hinter das "PUSH ESI" schreibt ihr dann noch ein "PUSH 1". Dann schreibt ihr noch ein "JMP 004074A8" hinter "PUSH 1". Das "004074A8" kommt auch wieder aus unserem Editor. Es ist die Stelle an dem "CALL DWORD..." steht. Dann hätten wir in OllyDbg auch schon alles fertig . Das ganze sieht dann so aus:
http://img223.imageshack.us/my.php?image=pic45xp7.jpg
6. Dann markiert ihr alles neue (Rechtsklick > Copy > To Clipboard) und kopiert es wieder in euren Editor! Daraufhin klickt ihr Rechtsklick > Copy to executable > All modifications. Dann klickt ihr auf "Copy all" und dann wieder Rechtsklick > Save File. Und speichert das ganze als "server_new.exe".
7. Dann startet ihr PEditor 1.7 und öffnet die "server_new.exe". Nun schauen wir uns an wo unser neuer Server anfängt. Im Editor ist das im 2. Block (der gerade eben kopierte) der erste Zahlensatz. Bei mir: "00407674".
8. Dann seht ihr das im PEditor was von "Image Base" steht. In meinem Fall "00400000" So, jetzt schauen wir uns die beiden Zahlen mal an:
"00407674" -
"00400000"
= "7674" (Unser neuer Entrypoint)
9. Den neuen EntryPoint geben wir bei "Entry Point" ein und klicken auf "apply changes".
10. Fertig! Jetzt hat euer Server einen neuen Entrypoint und wenn er nicht mehr klappen sollte, dann habt ihr was falsch gemacht
PS: Wenn ihr den Server vor KAV stealthen wollt, dann müsst ihr den EP 3x verschieben und dann könnt ihr erst nach den Hex-Offsets suchen!"
Links zu den Programmen:
• OllyDbg 1.10
• http://www.ollydbg.de/odbg110.zip
• PEditor 1.7
• http://www.softpedia.com/get/Program.../PEditor.shtml
3. Dann gibt es halt noch diese Packer geschichten. UPX Themida usw.
du kannst die meisten theoretisch vergessen daher diese "HEUR" (heuristik) auslösen und somit "enttarnt sind".
Ergebnis 1 bis 2 von 2
Thema: Shark Anti Vir proof
-
23.08.2007, 12:00 #1Trojaner
- Registriert seit
- 12.08.2007
- Beiträge
- 85
Shark Anti Vir proof
-
23.08.2007, 13:00 #2Der verlorene DJ
- Registriert seit
- 21.06.2007
- Beiträge
- 1.052
Thx hat Wunderbar geklappt.
Nur sollte dieser Thread wohl eher zu den Text-Tutorials.
MFG,
AutofreundBLAH!
Zitieren
