Help - Search - Members - Calendar
Full Version: [Rel] Code Relocator - make any packer undetected
SweRAT > Datasäkerhet > Projekt och Releaser
Pages: 1, 2
ksv
2005-03-25 15:25
Nytt verktyg för att göra servrar undetected. smile.gif
QUOTE(Aphex)
before

AntiVir BDC/Delf.TE (0.39 seconds taken)
Avast Win32:RATo-870 (1.51 seconds taken)
AVG Antivirus BackDoor.Delf.16.Z (0.90 seconds taken)
BitDefender Backdoor.Delf.TE (1.06 seconds taken)
ClamAV No viruses found (1.15 seconds taken)
Dr.Web BackDoor.Aphex.11 (0.91 seconds taken)
F-Prot Antivirus W32/Reverseshell.A@bd (0.17 seconds taken)
Fortinet W32/Backdoor-tr (0.87 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Delf.te (3.28 seconds taken)
mks_vir RAT.Delf.Te (0.96 seconds taken)
NOD32 Win32/Delf.TE (1.95 seconds taken)
Norman Virus Control W32/Delf.TE (1.05 seconds taken)

after

AntiVir No viruses found (0.40 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.63 seconds taken)
BitDefender No viruses found (0.54 seconds taken)
ClamAV No viruses found (0.60 seconds taken)
Dr.Web No viruses found (0.92 seconds taken)
F-Prot Antivirus No viruses found (0.21 seconds taken)
Fortinet No viruses found (0.46 seconds taken)
Kaspersky Anti-Virus No viruses found (1.00 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 probably unknown CRYPT.WIN32 (probable variant) (0.48 seconds taken)
Norman Virus Control No viruses found (1.45 seconds taken)

WARNING: this method is not for n00bs, some thinking may be required! proceed at own risk!


/http://iamaphex.net/downloads/reloc.zip - /http://iamaphex.net/reloc/help.html
octane
2005-03-26 17:08
mkt intressant !!! tack för denna
redlime
2005-03-26 18:56
Gjorde ett litet test med en helt vanlig standard Bifrost server.
Här är resultaten!

Standard Bifrost Server:


Standard Bifrost Server packad med UPX:


Standard Bifrost Server packad med UPX och reloc en gång(beskriven i help.html):




Inte helt dom svaren jag ville ha, men det går väl att reloc'a flera gånger? smile.gif

EDIT: Menar att reloc'a flera olika ställen av koden!
octane
2005-03-26 19:07
Damn va symnatec suger!
no viruses found efter UPX !
redlime
2005-03-26 19:18
Hahaha, ja visst är det härligt biggrin.gif
redlime
2005-03-26 19:21
Update

Har nu reloc'at den 3ggr till och fick följande resultat:


Eliminerade 2 AV till iaf, men sen kvittade hur mkt jag än pysslade med reloc, så blev det samma resultat.
redlime
2005-03-26 20:51
Gjorde ett nytt test fast med Optix Pro som försökskanin denna gången.
Än en gång räckte det med UPX för att lura Symantec dry.gif

Standard:


Med UPX:


Med UPX + reloc en gång:




Svaren var väl ganska väntade...
Någon som lyckas få en server HELT undetected genom reloc och compression?
octane
2005-03-27 01:02
har två små undringar:

1.
kommer ihåg en sida där man uppar en fil, o så scannas den med alla AV program, använder du den? isf va e url?

2.
om du kör på ditt system... kör du också filerna?
ibland kan man lyckas få en undetected, men av programmet "fångar" en när man ska köra filen...
redlime
2005-03-27 01:18
Jag körde med /http://www.virustotal.com till testerna och ja, jag provkörde serverfilerna, men har dock bara ett uppdaterat McAfee (Edit: Norton) på denna datorn (min fars). huh.gif

EDIT:
Men det fenomenet du beskriver måste vara vid enkryptioner av den binära datan så att säga. När man startar filen så dekrypteras kroppen på RATen och läggs i minnet identiskt med hur den såg ut från början.

Rätta mig om jag är ute och paddlar...

Edit2: Var ju inte alls McAfee han hade utan Norton dry.gif
Jag borde skaffa mer sömn... smile.gif
snowman
2005-03-27 01:20
eftersom typ 90% använder crappy Norton så är det ju inget större problem... förr bytte man icon och sen var det klart... och Beast... Hexeditor, ändra beast till Beast sen var det färdigt, inget antivirus hittade nått! sen hade ju beast två signaturer i Kaspersky, den andra var inte heller svår att fixa! laugh.gif
redlime
2005-03-27 01:22
QUOTE(snowman @ Mar 27 2005, 01:36 AM)
eftersom typ 90% använder crappy Norton så är det ju inget större problem... förr bytte man  icon och sen var det klart... och Beast... Hexeditor, ändra beast till Beast sen var det färdigt, inget antivirus hittade nått! sen hade ju beast två signaturer i Kaspersky, den andra var inte heller svår att fixa!  laugh.gif
*


Efterom så många använder Norton så är det ju bara att UPX-packa, så är det problemet löst laugh.gif

Har själv märkt hur bisarrt många det är som använder Symantec Produkter...
starlight2003
2005-03-27 01:29
virustotal.com er ett honeypot har jeg hørt, dessuten er det mange andre packere man kan teste med
redlime
2005-03-27 01:45
QUOTE(starlight2003 @ Mar 27 2005, 01:45 AM)
virustotal.com er ett honeypot har jeg hørt, dessuten er det mange andre packere man kan teste med
*


Även om det är en honeypot så spelar det väl ingen roll? Går att välja att inte skicka in samples till analys, men huruvida det är äkta kan man diskutera, men om dom inte följer deras egna options så ska det nog gå att få bort dom ifall något händer.

Eftersom det, som du säger, finns många andra packare att testa med, så kan man inte göra ett test som täcker allt, utan gjorde bara detta testet lite snabbt för att kolla hur väl det fungerar generellt. smile.gif


Fasen va långa meningar jag har idag dry.gif
octane
2005-03-27 02:18
redlime: om jag minns rätt (kommer ihåg bättre nu) var det så att jag binande en RAT med en undetected binder, o själva summasumarum blev undetected, men Norton hindrade (hade nortån då) mig när jag skulle köra den bindande filen...

ang domdär scannings sidorna så va den sidan jag va på förut, och kanske denna honeypots... det är ganska ledsamt men det är min teori...

jag tänkte att när jag fixar en till dator ska jag fixa upp ett litet hemma-labb med virtual-OS'ar o en backup på säg winXP med webservers, olika versioner av forum etc... för att testa RATer,av,exploits osv...
e de redan ngn som har en sån grym burk?
ksv
2005-03-27 03:39
QUOTE(redlime @ Mar 27 2005, 01:01 AM)
Eftersom det, som du säger, finns många andra packare att testa med, så kan man inte göra ett test som täcker allt, utan gjorde bara detta testet lite snabbt för att kolla hur väl det fungerar generellt.  smile.gif
Absolut.
I ett sådant här fall tycker jag det är ok att testa med virustotal.

Men jag är lite förvånad över det dåliga utfallet! Själv har jag inte hunnit testa något.
p0ke
2005-03-27 16:03
QUOTE(octane @ Mar 26 2005, 07:23 PM)
Damn va symnatec suger!
no viruses found efter UPX !
*


hahaha, jag tänkte precis samma när jag såg det ;d fyfan va skam för dem;d
Dashi
2005-03-31 16:55
Hur UPX packar man ? I Optix Pro packar den väl auto om man väljer det? För mig hittar den ändå optix servern... Ja, det är Norton..
redlime
2005-03-31 18:38
QUOTE(Dashi @ Mar 31 2005, 05:11 PM)
Hur UPX packar man ? I Optix Pro packar den väl auto om man väljer det? För mig hittar den ändå optix servern... Ja, det är Norton..
*


Rätta mig om jag har fel men använder inte Optix Pro FSG packare?
I vilket fall som helst, så tanka ner UPX och lägg den i \Windows och sen kan du köra denna commandlinen genom KÖR:
upx C:\ProgramAttPacka.exe
rohlen
2005-03-31 19:39
Vilken UPX-version använder ni er utav?
redlime
2005-03-31 21:22
QUOTE(rohlen @ Mar 31 2005, 07:55 PM)
Vilken UPX-version använder ni er utav?
*


Jag använder 1.25
Brukar inte packa så mkt eller syssla med sådant så vilka andra som finns och sånt blajj är jag inte så inne på för tillfället iaf smile.gif
rohlen
2005-03-31 23:20
QUOTE(redlime @ Mar 31 2005, 08:38 PM)
QUOTE(rohlen @ Mar 31 2005, 07:55 PM)
Vilken UPX-version använder ni er utav?
*


Jag använder 1.25
Brukar inte packa så mkt eller syssla med sådant så vilka andra som finns och sånt blajj är jag inte så inne på för tillfället iaf smile.gif
*


Okej!
Moddad? smile.gif För UPX finns väl gratis som källkod?
CodeDevil
2005-04-01 00:40
kör

upx -9 C:\ProgramAttPacka.exe

istället
redlime
2005-04-01 01:01
QUOTE(CodeDevil @ Apr 1 2005, 12:56 AM)
kör

upx -9 C:\ProgramAttPacka.exe

istället
*

Jo, men default går den på 8 så kan inte spela SÅ stor roll wink.gif
CodeDevil
2005-04-01 01:12
QUOTE(redlime @ Apr 1 2005, 01:17 AM)
QUOTE(CodeDevil @ Apr 1 2005, 12:56 AM)
kör

upx -9 C:\ProgramAttPacka.exe

istället
*

Jo, men default går den på 8 så kan inte spela SÅ stor roll wink.gif
*



Finns en massa olika parametrar man kan ändra smile.gif laugh.gif
Khain52
2005-04-17 19:33
Jag har tankat från http://upx.sourceforge.net/: http://upx.sourceforge.net/..
man vad gör jag sen??
var lägger jag det?
rohlen
2005-04-17 20:46
QUOTE(Khain52 @ Apr 17 2005, 06:49 PM)
Jag har tankat från http://upx.sourceforge.net/: http://upx.sourceforge.net/..
man vad gör jag sen??
var lägger jag det?
*

Du måste använda det via cmd.
Lägg det på C: - Sen öppnar du cmd och skriver in 'cd C:\', sen 'upx' för kommandon m.m.
rohlen
2005-04-17 20:47
QUOTE(Khain52 @ Apr 17 2005, 06:49 PM)
Jag har tankat från http://upx.sourceforge.net/: http://upx.sourceforge.net/..
man vad gör jag sen??
var lägger jag det?
*

Lägg upx.exe i C:\.
Öppna cmd.exe och skriv in 'cd C:\' - Sen 'upx' för kommandon.
shapeless
2005-04-17 21:07
QUOTE(rohlen @ Apr 17 2005, 09:03 PM)
QUOTE(Khain52 @ Apr 17 2005, 06:49 PM)
Jag har tankat från http://upx.sourceforge.net/: http://upx.sourceforge.net/..
man vad gör jag sen??
var lägger jag det?
*

Lägg upx.exe i C:\.
Öppna cmd.exe och skriv in 'cd C:\' - Sen 'upx' för kommandon.
*




Eller om man använder upx flitigt så kan man lägga upx i system32, då behöver man bara skriva "upx c:\test.exe". smile.gif
Khain52
2005-04-17 22:55
Så jag lägger upx i system32 och skriver "upx c:\ProgramAttPacka.exe" i kör..
eller vad? dry.gif
shapeless
2005-04-17 23:03
QUOTE(Khain52 @ Apr 17 2005, 11:11 PM)
Så jag lägger upx i system32 och skriver "upx c:\ProgramAttPacka.exe" i kör..
eller vad? dry.gif
*


Exakt.
Khain52
2005-04-18 15:29
Men hur ser man om den är packar lr inte??
Det är ingen skilland på den före och efter.. så jag tror att jag har misslyckats sad.gif
Caecigenus
2005-04-18 15:36
QUOTE(Khain52 @ Apr 18 2005, 03:45 PM)
Men hur ser man om den är packar lr inte??
Det är ingen skilland på den före och efter.. så jag tror att jag har misslyckats sad.gif
*
Du har kontrollerat storleken på filen och jämfört före respektive efter att du packade den?
Dessutom ska det visas ett felmeddelande om du försöker packa en redan packad fil.
Om du går in i cmd -> "C:\'sökväg'\upx.exe --help" så kan du få reda på en del om vad du gör och vad du bör ha för inparametrar.
OBS! Din fil lär inte bli undetected genom att packa den med upx.
redlime
2005-04-18 17:30
QUOTE(Caecigenus @ Apr 18 2005, 03:52 PM)
OBS! Din fil lär inte bli undetected genom att packa den med upx.
*


För Norton är det mkt möjligt den blir undetected.
starlight2003
2005-04-19 11:11
Ettersom bruken av dette programmet har økt..kommer nok flere AV til å legge inn signaturer på "relokerte" filer.
Khain52
2005-04-30 17:51
Jag tog en Bifrost server, jag packade med UPX sen skulle sen reloca den..
jag har inte så stor koll på vad jag gjorde men den blev relocad iaf..
men sen sär jag öppna på den stod det att programmet hadde stött på et problem och var tvunget att avslutas... huh.gif

Vet någon vad jag gjorde för fel och hur jag ska göra istället?
maxxflow
2005-04-30 18:11
Tror du måste reloc'a innan du packar den...
Khain52
2005-04-30 18:49
Jäääjj!! Det funka! biggrin.gif

Tack så mycket!! smile.gif
Khain52
2005-05-01 15:31
Men uff! sad.gif

Jag Använde upx och relocade den en gång men Norton stoppade den när användaren skulle köra den!

Jag kollade på virustotal o där hittade norton ingenting... huh.gif
Hade användaren kanske en nyare uppdatering?
Zpajk
2005-05-01 22:22
För oss som inte e lika grymma på Rat's som er andra än så undrar jag om någon skulle kunna göra en lättfattlig guide på hur man använder verktyget smile.gif

plzz
Khain52
2005-05-01 23:22
QUOTE(Zpajk @ May 1 2005, 09:38 PM)
För oss som inte e lika grymma på Rat's som er andra än så undrar jag om någon skulle kunna göra en lättfattlig guide på hur man använder verktyget smile.gif

plzz
*



Det finns massor redan cool.gif t.e.x /http://www.spywire.net/forum/viewtopic.php?t=335
redlime
2005-05-02 12:03
QUOTE(Khain52 @ May 1 2005, 11:38 PM)
Det finns massor redan  cool.gif  t.e.x http://www.spywire.net/forum/viewtopic.php?t=335: http://www.spywire.net/forum/viewtopic.php?t=335
*

.. och en liten video: /http://forums.chasenet.org/index.php?showtopic=3220
Khain52
2005-05-04 20:31
QUOTE(Khain52 @ May 1 2005, 02:47 PM)
Men uff! sad.gif

Jag Använde upx och relocade den en gång men Norton stoppade den när användaren skulle köra den!

Jag kollade på virustotal o där hittade norton ingenting... huh.gif
Hade användaren kanske en nyare uppdatering?
*



Undrar fortfarande... dry.gif

Alla säger att Norton suger..
Men jag har inte lyckats få igenom en ända server.. sad.gif
Farbror
2005-05-04 22:15
Testa att relocata fler ggr....
Khain52
2005-05-05 15:29
QUOTE(Farbror @ May 4 2005, 09:31 PM)
Testa att relocata fler ggr....
*


Hur gör man det då?
Jag ändrade typ ingenting..

Jag skrev "reloc C:\server.exe $CD40 $5140 $CE9C $529C 6" För så stod det i help.html

Till vad ändrar för att reloca på ett annat ställe då?
redlime
2005-05-05 16:33
QUOTE(Khain52 @ May 5 2005, 03:45 PM)
Hur gör man det då?
Jag ändrade typ ingenting..

Jag skrev "reloc C:\server.exe $CD40 $5140 $CE9C $529C 6" För så stod det i help.html

Till vad ändrar för att reloca på ett annat ställe då?
*


Men du använde väl PEiD för att få fram parametrarna $CD40, $5140, $CE9C, $529C och storleken 6 ?

Annars är du ute och cyklar.. sad.gif
Khain52
2005-05-05 21:45
Hehe, nej det gjorde jag inte.
Jag det som stod i deras exempel..

Men hur gör jag för att få dem rätt?
Och hur gör dom när dom räknar ut dom?
"($529C - $400) + $8000 = $CE9C" blink.gif
thelurker
2005-05-06 00:03
QUOTE(Khain52 @ May 5 2005, 10:01 PM)
Hehe, nej det gjorde jag inte.
Jag det som stod i deras exempel..

Men hur gör jag för att få dem rätt?
Och hur gör dom när dom räknar ut dom?
"($529C - $400) + $8000 = $CE9C"  blink.gif
*



Hex smile.gif

kör du win använd calc och ändra till Scientific och välj Hex. tuta och kör!

/lurk
Khain52
2005-05-06 00:29
Calc vad är det och vart fårmantag i det?
thelurker
2005-05-06 00:58
QUOTE(Khain52 @ May 6 2005, 12:45 AM)
Calc vad är det och vart fårmantag i det?
*


uhm, Windows Calculator.

Startmenyn - annat (heter det på svenska va?) och sen Kalkylatorn.


/lurk
Khain52
2005-05-06 17:50
Heheh...
mmm, Jag kompå det sen.. tongue.gif

Nu gör jag rätt i allafall, men hur gör jag för att ändra på något annat ställe i koden?
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2012 Invision Power Services, Inc.