nunja verzweifel gerade an antivir bzw TR/Dropper.Gen
wenn möglich ein tutorial oder ein paar inspirationen
hab bisher mit reshack und hexeditor versucht
entry point verschoben usw
nunja thx im vorraus
Ergebnis 1 bis 10 von 17
-
26.06.2009, 15:13 #1Lets Fetz oO
- Registriert seit
- 06.11.2008
- Beiträge
- 173
[S] Tutorial - TR/Dropper.Gen wegmodden
Geändert von mbeezy (26.06.2009 um 15:28 Uhr)
-
26.06.2009, 15:37 #2Gesperrt
- Registriert seit
- 13.03.2009
- Beiträge
- 1.041
Versuche mal Fake-Signaturen einzubauen und den Ep dann dorthin zu verschieben.
-
26.06.2009, 15:50 #3Lets Fetz oO
- Registriert seit
- 06.11.2008
- Beiträge
- 173
entry point verschoben und fakesignature eingefügt
jedoch weder ein positiver noch negativer effekt
-
19.07.2009, 14:38 #4Richard Stallman
- Registriert seit
- 09.07.2008
- Beiträge
- 2.199
Möchte an dieser Stelle mal einsteigen.. versuche gerade mich ebenfalls mit dem Crypten/Exe modden zu beschäftigen.. hatte eigentlich vor zunächst einen eigenen kleinen Crypter zu machen, allerdings musste ich sofort feststellen, dass Antivir direkt wegen einem Dropper rumspinnt, sobald ich zwei verschiedene Exen zusammenfüge.
Lese mir gerade diverse Tutorials zu der Thematik durch, so richtig voran komm ich allerdings noch nicht.
Gibt es noch empfehlenswerte Tutorials zu den verschiedenen Möglichkeiten, die ich habe oder gibt es sonst noch etwas zu sagen?
Tue mich mit der Suche gerade etwas schwer, aufgrund der langen Ladezeiten momentan
Geändert von 100 (19.07.2009 um 14:45 Uhr)
-
19.07.2009, 22:22 #5Gesperrt
- Registriert seit
- 13.03.2009
- Beiträge
- 1.041
Avira erkennt es wohl an den Offsets.
Schonmal versucht wegzuhexxen?
-
19.07.2009, 22:29 #6Anfänger
- Registriert seit
- 14.12.2007
- Beiträge
- 15
Avira erkennt es wohl an den Offsets als TR/Dropper.Gen.
Avira erkennt es an den Offset 2 -1BA, also am PE Header welchen man auf keinen Fall weghexxen kann. Alles schon versucht...
Ich habe gemodded + Entry Point verschoben + Icon und Resources verändert + Fake Signatur und es war immer noch detected VB Funktionen hab ich auch mit einem JMP umgeleitet keine chane. Das einzige was noch gehen würde wäre Manual Packing.
Ich bitte um Hilfe!!! Es muss doch irgendwie funktionierenrofl^^
Zitat von unna456654
-
19.07.2009, 22:29 #7Sobig Wurm
- Registriert seit
- 28.10.2008
- Beiträge
- 226
Such dir av Devil und ein tut.
(benutzt die sufu es gibt viele tut's zu av Devil)
-
19.07.2009, 22:31 #8Anfänger
- Registriert seit
- 14.12.2007
- Beiträge
- 15
Antwort Blizzard
Hallo Bl1zz4rD, Zitat von Bl1zz4rD
Diese Methode funktioniert schon lange nicht mehr. Probiere es selber.
Da der Trojaner an den offsets 2-1BA zumindest bei mir erkannt wird welche nicht gehexxt werden können!rofl^^ Zitat von unna456654
-
19.07.2009, 22:37 #9Eigener Benutzertitel
- Registriert seit
- 23.12.2008
- Beiträge
- 1.767
Du bist ja aufm neuesten standSuch dir av Devil und ein tut.
Das geht schon seit ner geraumen Zeit nicht mehr
Ich empfehle dir das tut von Dizzy_D Manual Packing für fortgeschrittene.
mfG
iPott <3
-
20.07.2009, 00:08 #10Anfänger
- Registriert seit
- 26.10.2008
- Beiträge
- 6
Also ich hab den Dropper wegbekommen indem ich das Kleine Tool pefix.exe angewendet habe. Das korigiert unterandemem das rawsize im Pe Header...
Nur leider wirft das bei mir einen neuen Fund auf und da hab ich dann gar keinen Plan mehr. Ein TR/Crypt.XPACK.Gen
weiß jemand was man dagegen tuen kann?
Zitieren
