hab mal was in meiner alten sammlung gefunden.
pole, hoffe das ist ok


Ihr braucht: AV Devil 2 und den hexeditor XVI32 (den benutze ich, ist ganz ok)


================================================== ==============================
1.Erstellelt den Trojanerserver


!!! VERGESST DAS PASSWORT NICHT, DASS IHR BEIM ERSTELLEN DES SERVERS BENUTZT HABT !!!


2. Deaktiviert (NICHT SCHLIESSEN) den AV Guard

3. Starte AV Devil 2 und öffne die server.exe die du erstellt hast.

4. Befolge die 2 Pop-up Anweisungen von AV Devil 2, die auftauchen.

(in dem Fall müsst ihr beim ersten Pop-up was auftaucht, einfach "OK" drücken,
und beim zweiten sollt ihr bevor ihr "OK" drückt, den AV Guard wieder aktivieren)

5. Lasse AV Devil 2 alles durchscannen und immer wenn AntiVir vor dem Trojaner warnt einfach auf
"Zugriff verweigern und datei belassen" clicken und dann auf OK

6. Wenn im AV Devil 2 "alle offsets gefunden" steht, notiert sie euch irgendwo,
oder lässt einfach AV-Devil offen, denn die gefundenen Offsets brauchen wir gleich noch dringend !

7. Nun erstellen wir eine Kopie des Trojaners und verschieben ihn in einen anderen Ordner.

8. Jetzt öffnen wir den kopierten Trojaner mit dem Hexeditor.

9. Nun sehen wir 3 Spalten, in der Linken Spalte müssen wir zum ersten von AV Devil gefundenem Offset runterscrollen.

10.Dann suchen wir uns in der Spalte ganz rechts einfach nen Buchstaben,
der euch irgendwie ins Auge springt und machen aus einem kleinem Buchstaben einen großen und umgekehrt. ( z.B. "B" -> "b" )

11.Nun speichern wir die Datei ab und führen Schritt 2 bis 5 nochmal aus.
wenn AV Devil das Offset nichtmehr findet, dann war es der Richtige Buchstabe,
sollte er genau das selbe Offset nochmal finden,
war es der falsche und wir müssen im Hexeditor den buchstaben zurückumändern und uns einen Anderen suchen.

12.Sowas macht man so lange bis AV Devil nichts mehr findet. Danach führt man den Trojaner testweise bei sich aus um zu schauen,
ob er auch nach den Veränderungen auch noch funktioniert

!!! ( DAS NUR MACHEN, WENN EUER TROJANER EINE MÖGLICHKEIT HAT DEN SERVER VOM CLIENTEN AUS ZU LÖSCHEN!!! ) !!!

Ob er noch funktioniert könnt ihr schauen indem ihr, nach dem ausführen,
den Trojanerclienten ausführt und euch mit der localIP 127.0.0.1 zu euch selber verbindet.
Wenn er connectet, könnt ihr testen, ob die Funktionen alle noch in takt sind. Wenn sie es sind,
könnt ihr den Trojaner per Client von eurem Rechner löschen ( nicht die modifizierte server.exe )
und euch freuen einen gestealthten Trojaner zu haben!

PS: Das war mein erstes Tut zu Trojanern, ich hoffe ich konnte euch weiterhelfen!
Mit anderen AntiViren Programmen ist es das selbe Verfahren! (Nur bei Kaspersky muss man den Entry Point verschieben!..
Dazu aber ein andern` mal!)

================================================== ==============================

©2006-2007 by PoLe