Snappade upp denna metoden om filesplitting och hexing från milworm och tänkte att jag skulle sätta mig in den. Men har kommit across ett litet problem.
Min server detecteras vid kompilation vilket är olyckligt, så jag tänkte då att jag skulle se var den detekteras med hjälp av filesplitting. Jag kan ju helt klart leta upp var i koden den detekteras och skriva om funktionen (vet dock var det är) men vore roligt att lära sig något ny metod om nu använder något som detekteras som man inte har tillgång till såsen.
Hur som helst, när jag splittar min server så detekteras den inte längre, räcker att jag splittar den i 2 delar så detekteras den inte vilket inte är till mycket nytta.
DSplit är något jag gärna skulle använda men har dock problem med att köra det, då jag försöker köra det via prompt så blir det "Can not be run in a DOS Window" eller något väldigt snarlikt...
Någon som användt denna metoden eller har några förslag på någon vettig filesplitter?
Full Version: Hitta signatures
QUOTE(Nuffe @ 2008-04-18 14:30) 
Snappade upp denna metoden om filesplitting och hexing från milworm och tänkte att jag skulle sätta mig in den. Men har kommit across ett litet problem.
Min server detecteras vid kompilation vilket är olyckligt, så jag tänkte då att jag skulle se var den detekteras med hjälp av filesplitting. Jag kan ju helt klart leta upp var i koden den detekteras och skriva om funktionen (vet dock var det är) men vore roligt att lära sig något ny metod om nu använder något som detekteras som man inte har tillgång till såsen.
Hur som helst, när jag splittar min server så detekteras den inte längre, räcker att jag splittar den i 2 delar så detekteras den inte vilket inte är till mycket nytta.
DSplit är något jag gärna skulle använda men har dock problem med att köra det, då jag försöker köra det via prompt så blir det "Can not be run in a DOS Window" eller något väldigt snarlikt...
Någon som användt denna metoden eller har några förslag på någon vettig filesplitter?
Min server detecteras vid kompilation vilket är olyckligt, så jag tänkte då att jag skulle se var den detekteras med hjälp av filesplitting. Jag kan ju helt klart leta upp var i koden den detekteras och skriva om funktionen (vet dock var det är) men vore roligt att lära sig något ny metod om nu använder något som detekteras som man inte har tillgång till såsen.
Hur som helst, när jag splittar min server så detekteras den inte längre, räcker att jag splittar den i 2 delar så detekteras den inte vilket inte är till mycket nytta.
DSplit är något jag gärna skulle använda men har dock problem med att köra det, då jag försöker köra det via prompt så blir det "Can not be run in a DOS Window" eller något väldigt snarlikt...
Någon som användt denna metoden eller har några förslag på någon vettig filesplitter?
Jag har använt Dsplit och vet ej varför det står att man inte kan köra det i ett DOS fönster, men jag fick nyss ett tips på ett program om heter "AV Devil 2.exe" och det är mycket enklare än Dsplit.
kan ju va så att servern delas precis där taggen sitter så taggen delas i 2 delar..
det gamla tricket med att fylla din server med nollor funkar ju faktiskt..
fyll den första tredjedelen med nollor och scanna.
hittas den inte nu så sitter ju taggen i den delen av servern.
fyll nu halva tredjedelen med nollor och gör om samma sak.
håll på så tills du bara har en rad kvar så har du hittat taggen.
då räcker det att du byter ut en siffra / bokstav i raden för att den ska bli UD.
dock får du prova dej fram till vilken du ska byta ut , så din server fotfarande funkar.
vilket kan ta tid. sen är det inte alla det funkar på.
det gamla tricket med att fylla din server med nollor funkar ju faktiskt..
fyll den första tredjedelen med nollor och scanna.
hittas den inte nu så sitter ju taggen i den delen av servern.
fyll nu halva tredjedelen med nollor och gör om samma sak.
håll på så tills du bara har en rad kvar så har du hittat taggen.
då räcker det att du byter ut en siffra / bokstav i raden för att den ska bli UD.
dock får du prova dej fram till vilken du ska byta ut , så din server fotfarande funkar.
vilket kan ta tid. sen är det inte alla det funkar på.
QUOTE(crazyboris @ 2008-04-19 16:43)
kan ju va så att servern delas precis där taggen sitter så taggen delas i 2 delar..
det gamla tricket med att fylla din server med nollor funkar ju faktiskt..
fyll den första tredjedelen med nollor och scanna.
hittas den inte nu så sitter ju taggen i den delen av servern.
fyll nu halva tredjedelen med nollor och gör om samma sak.
håll på så tills du bara har en rad kvar så har du hittat taggen.
då räcker det att du byter ut en siffra / bokstav i raden för att den ska bli UD.
dock får du prova dej fram till vilken du ska byta ut , så din server fotfarande funkar.
vilket kan ta tid. sen är det inte alla det funkar på.
det gamla tricket med att fylla din server med nollor funkar ju faktiskt..
fyll den första tredjedelen med nollor och scanna.
hittas den inte nu så sitter ju taggen i den delen av servern.
fyll nu halva tredjedelen med nollor och gör om samma sak.
håll på så tills du bara har en rad kvar så har du hittat taggen.
då räcker det att du byter ut en siffra / bokstav i raden för att den ska bli UD.
dock får du prova dej fram till vilken du ska byta ut , så din server fotfarande funkar.
vilket kan ta tid. sen är det inte alla det funkar på.
Tog inte så pass lång tid att hitta signature, iaf inte den som NOD32 identifierade.... men det var lite jobbigare att
ersätta....
4372 6561 7465 5072 6F63 6573 7341 | CreateProcessA
Om jag ändrar på den så funkar ju som sagt inte servern, just därför att (om jag ändrar till CREATEPROCESSA) funktionen
inte finns i kernel32.dll.
Något som är ännu klurigare är att jag inte använder CreateProcessA i min kod. Har jag fattat rätt om att det har något
att göra med skapandet av processen?
Svårt att se någon lösning på detta, om man nu ska ändra det via Hex Editor.....
CreateProcessA är inte unikt nog att vara det enda i signaturen. Den kan förekomma i mängder av olika applikationer. Det måste finnas ngt som utmärker den aktuella koden.
har ett problem, AV programmet upptäcker alla delar av RATen 
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.