Avira weghexxen mit AV Devil und Hex-Editor.

[Jaro]

wenn windows es nimma ausführen kann hast du den server kaputtgehexxt ^^

musst einfach abundzu kontrolliern ob er noch geht, wenn du manche sachen weghexxt funzt das programm einfach nimma.

[underw00d]

Joa thx nochma hab nochma per googlen n zweites tut gefunden das hießes einfach manche groß- zu kleinbuchstaben umzuändern und umgekehrt die halt in dem Offset sind.
Hatte ne weile das gleiche Problem wieder und jetzt gehts.. bzw halb:
Der Server is FUD und wenn man ihn startet kommt ne Fehlermeldung von Windows (Wann würde denken der Server is im ar***) aber er geht trozdem

[Jaro]

upps doch mal das tut.. :wink:

[underw00d]

Hier das TuT von der anderen Seiten:

Trojaner für AntiVir stealthen


Ihr braucht: AV Devil 2 und den hexeditor XVI32 (den benutze ich, ist ganz ok)

1.Erstellelt den Trojanerserver
!!! VERGESST DAS PASSWORT NICHT, DASS IHR BEIM ERSTELLEN DES SERVERS BENUTZT HABT !!!

2.Deaktiviert (NICHT SCHLIESSEN) den AV Guard

3.Starte AV Devil 2 und öffne die server.exe die du erstellt hast.

4.Befolge die 2 Pop-up Anweisungen von AV Devil 2, die auftauchen.
(in dem Fall müsst ihr beim ersten Pop-up was auftaucht, einfach "OK" drücken, und beim zweiten sollt ihr bevor ihr "OK" drückt, den AV Guard wieder aktivieren)

5.Lasse AV Devil 2 alles durchscannen und immer wenn AntiVir vor dem Trojaner warnt einfach auf "Zugriff verweigern und datei belassen" clicken und dann auf OK

6. Wenn im AV Devil 2 "alle offsets gefunden" steht, notiert sie euch irgendwo, oder lässt einfach AVDevil offen, denn die gefundenen Offsets brauchen wir gleich noch dringend wir gleich dringend!

7. Nun erstellen wir eine Kopie des Trojaners und verschieben ihn in einen anderen Ordner.

8. Jetzt öffnen wir den kopierten Trojaner mit dem Hexeditor.

9. Nun sehen wir 3 Spalten, in der Linken Spalte müssen wir zum ersten von AV Devil gefundenem Offset runterscrollen.

10. Dann suchen wir uns in der Spalte ganz rechts einfach nen Buchstaben, der euch irgendwie ins Auge springt und machen aus einem kleinem Buchstaben einen großen und umgekehrt. ( z.B. "B" -> "b" )

11. Nun speichern wir die Datei ab und führen Schritt 2 bis 5 nochmal aus.
wenn AV Devil das Offset nichtmehr findet, dann war es der Richtige Buchstabe, sollte er genau das selbe Offset nochmal finden, war es der falsche und wir müssen im Hexeditor den buchstaben zurückumändern und uns einen Anderen suchen.

12. Sowas macht man so lange bis AV Devil nichts mehr findet und dann führt man den Trojaner testweise bei sich aus um zu schauen ob er auch nach den Veränderungen auch noch funktioniert( DAS NUR MACHEN, WENN EUER TROJANER EINE MÖGLICHKEIT HAT DEN SERVER VOM CLIENTEN AUS ZU LÖSCHEN!!! ). Ob er noch funktioniert könnt ihr schauen indem ihr, nach dem ausführen, den Trojanerclienten ausführt und euch mit der localip 127.0.0.1 zu euch selber verbindet.
Wenn er connectet, könnt ihr testen, ob die Funktionen alle noch in takt sind. Wenn sie es sind, könnt ihr den Trojaner per Client von eurem Rechner löschen ( nicht die modifizierte server.exe ) und euch freuen einen gestealthten Trojaner zu haben!

€dit: Hab grad nen Online Scan gemacht, das ding is FUD vor:
ArcaVir,AntiVir,Fortinet,NOD32,Panda Antivirus,VirusBuster und VBA32

[Perishand]

Die Offsets sind die "Zeilen" in der die zu hexxende Stelle ist. Für Antivir ist das "FF". Wenn ich also ein Offset bekomme, gehe ich in die "Zeile". (man kann zu Offset auch Zeile sagen, da das fast das selbige ist) Und dort tauschen wir 1 mal "FF" wenns mehrmals dort steht dann auch mehrfach bis es nicht erkannt wird. Aber immer vorher testweise speichern.

[dreamcatcher]

hey, ho.
jez ma mein erster beitrag: an der uhrzeit könnt ihr ja erkennen das ich mich zur zeit stark für hacken und ähnliches interessiere. also nun zu meinem problem. bei mir erkennt AV Devil 2 keinen offset!! woran kann das liegen? ich hab einfach nur den 2 er, also nicht so wie threatmaster 2.1. kann es daran liegen? ich hab antivir und versuch die send.php wie auch die server.exe zu stealthen. ihr wisst schon, ich mein bei steam steal0r v2.
ähmm wenn ihr noch was wissen müst dann sagt es mir.
thx 4 help
dreamcatcher

edit: lol uhrzeit 0:45 eigentlich ja 4:45 geile zz

[Illuminatum]

Hi, erstmal danke für das (sehr) gute Tut! Allerdings hab ich iwie ein Problem...

Als erstes hab ich eingestellt, dass der AV guard AVDevil2.exe ignorieren soll.

Wenn ich diesen AVDevil starte passiert also nichts. Dann suche ich die Exe (also die Keylogger-exe), die ich gegen AntiVir UD machen will (AV melden dann diese exe während dem Aussuchen schon!).

So, dann mach ich den guard wie beschrieben aus, dann wieder an. Jetztt fängt der Hauptteil an. "C:\test\file01.tmp" (oder so) meldet AV...was soll ich dann drüclen? Ignorieren? Weil wenn ich das dann immer drücke, merkt AVDevil am Schluss ja nicht, dass AV das alles erkennt!

Habe folgendes getestet: Immer auf Ignorieren geklickt, am Ende sagte AVDevil, dass diese Keylogger-exe UD sei..is sie aber nicht -.-

Help pls1

MfG

[Perishand]

Hallo,

erstmal zu dir mein Vorposter: Du musst dort auf "verweigern" klicken, damit das Offset am Ende auch angezeigt wird. Ansonsten denkt AvDevil "ok Avira sagt nichts, lassen wir das Offset in ruhe"


dreamcatcher: Die send.php ist doch die Datei, die du auf deinen ftp uppen musst, der dir dann alles per Email schickt. Du musst aber eine .exe mit dem AvDevil testen. Das müsste deinen Fehler beheben. Also such mal die server.exe die müsste auch erstellt worden sein.

[Illuminatum]

Man, ich werd' noch doof -.-

Ich hab jetzt folgende Offsets gefunden:


Jaaaaa, es ist das Programm "Brutus A2" :roll:

Also: "882E0" + "8835D"

Jetzt das Problem. Wenn ich das nun mit dem Hexxer "Hex Workshop" (=>HW) öffne und nach diesen Offsets suche, kann HW das nicht finden oO

wtf?

Was soll ich davon halten??? Hilft mir bitte!

MfG

[DaBounce]

ich habe ein Problem. Und zwar in den Zeilen die AV devil 2 bei mir gefunden hat gibt es nur "00" und kein "FF". Kann es sein das es an meinem Hexeditor liegt? Habe XVI32