Haz tu Troyano Indetectable con Dsplit By Viciowarez

El objetivo es modificar un virus / troyano de la firma antivirus que indetectable. Para lograrlo necesitamos un archivo infectado y el carácter exacto de la firma que está desencadenando el antivirus para detectar nuestro archivo. Vamos a encontrar la firma de cortar el archivo en pequeños y piezas más pequeñas y con el escaneo de AV hasta que determinar exactamente qué valor se hace necesaria la detección en el motor AV.
Herramientas necesarias

* Un archivo experimental que está infectada y la AV (antivirus) detecta
* Un archivo de del separador (DSplit o cualquier otro separador)
* Un programa antivirus instalado
* Un editor hexadecimal

En primer lugar, para demostrar que el archivo es detectar por la AV, escanear el archivo y tenga en cuenta que en realidad es detectado por la AV.
Ahora comenzamos el proceso de ocultar el archivo de la AV de dividirlo en varias ocasiones con DSplit. ¿En qué tamaños?

Útil DSplit comando es: dsplit [startbyte] [endbyte] [número de bytes a entre] [dividir archivo]
ejemplo: dsplit.exe 0 max 10000 TROJAN.EXE

DSplit primero acceder al archivo y el contenido de amortiguación. Ajuste el rango de tamaño (comienzo y fin bytes) y luego empiece a generar los archivos. primero 10kb, 20kb siguiente y así sucesivamente, por lo que un archivo de 3MB se dividirían en unos 330 a-ish exe, cada una de ellas 10000 bytes más grande que el anterior.
Ahora, para analizar los resultados… escanear todos los archivos generados con usted AV para algunos resultados interesantes.

El AV más probable es que sólo identifica alrededor del 10% (dependiendo del virus) de la división archivos como posibles amenazas. Tu antivirus es la detección de un virus firma en los archivos.

En primer lugar identificar el primer archivo que fue detectado por AV usted, por ejemplo 1300000, entonces tenemos que analizar 1290000 y ver lo que en 1300000 eso no es en 1290000. Una vez que haya identificado la primera AV archivo detectado y que su predecesor, eliminar todos los demás archivos generados.

Ahora, para cerrar en los resultados, vamos a dividir el archivo original en pequeños incrementos de entre el 1290000 y 1300000 bytes con:

dsplit.exe 1290000 1300000 1000 TROJAN.EXE (paso previo aviso tamaño ahora es de 1000 bytes y no 10000 como primera vez, pero aún estamos trabajando con el original y no TROJAN.EXE los archivos generados anteriormente)

Esto generará 10 nuevos archivos, ahora les exploración y lo más probable AV quizás detectar 5 de ellos (en secuencia), como amenazas, por ejemplo 1293000 a 1297000. Remonten el proceso, la identidad que, evidentemente, hay algo (la firma) 1293000 en que no está presente en 1292000.
Y de nuevo

dsplit.exe 1292000 1293000 10 TROJAN.EXE (rodajas muy estrecho, el trabajo es ahora el tamaño 1000bytes -> 100files)

Después de la generación, escanear los archivos y el tramo de nuevo como antes. 1292340 Si se detecta entonces TROJAN.EXE el tramo entre 1292330 y 1292340 en incrementos de 1 byte y tenemos toda la información que necesitamos! Cada archivo es ahora 1 byte más grande que el anterior, no podemos dividir más, pero podemos analizar fácilmente las diferencias entre y en averiguar el virus / troyano firma.

Digitalizar los archivos y determinar el primer archivo AV detectado, por ejemplo 1292335, y abrir ese archivo y su predecesor en su redactor de la tuerca hexagonal de elección. Desplácese hacia abajo hasta el final de los archivos y entre pestaña para ver qué personaje es que dé lugar a una firma reconocida en el programa antivirus. Lo más probable es que una ventana de valor clave del registro.

Ahora abra el original TROJAN.EXE que hemos estado generando a partir de archivos en su editor hexadecimal. Desplácese hasta el mismo lugar que usted acaba de identificarse con el proceso de partición y cambiar el carácter que usted acaba de identificar, esto no afectará la funcionalidad de archivo TROJAN.EXE pero inyectará valores que en alguna parte del editor de registro que no se identifica por su antivirus como una amenaza La mayoría de las veces es suficiente con sólo cambiar mayúsculas a minúsculas, o viceversa.

Ahora guarde la TROJAN.EXE y escanear de nuevo, ¡ya está!

Tenga en cuenta que esto va a dar resultados diferentes en diferentes motores de AV, algunos están más agresivos y la detección de mutaciones del virus, algunos identificar este archivo modificado como un "falsos positivos" pero la mayoría va a dejar pasar. Sentirse seguro ahora que no son?

Descarga dsplit
pass:
www.viciowarez.com

esta un poco complicado ya que no se entienden bien las palabras pero yo ya lo hize y me funciono de maravilla jeje, mi server del bifrost indetectable al nod32 y al kav salu2

__________________

Muy Bueno Sanlegas!
El Ultimo aporte?

__________________

Sanlegas NO morira
Sanlegas NO desaparecera
Sanlegas Regresera
Sanlegas Siempre estare en el cyberespacio ñ_ñ

__________________

Yeah!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

__________________

lastima que no entiendo el tuto... sera que hay una version en ingles que metiste en algun traductor?? si es así porfa pon el link para ver si cacho algo en la version original.

Se entiende bien, o me equivoco, tu que dices amigo pakoo?

__________________

muy buen post , gracia por el dato
-

__________________

Si Amigo Sanlegas se entiende de maravilla .

__________________