Академический Документы
Профессиональный Документы
Культура Документы
http://scanthis.net/
http://virscan.org/
En primer lugar hay que comprender como funciona un CRYPTER, que es un ANOTADOR y que es el HEXING:
CRYPTER
HEXIN
Modificaciones que se hacen en un ejecutable con un editor hexadecimal para evitar la detección de antivirus.
ANOTADOR
Es un fichero que cada vez se ejecuta modifica un fichero.
Se utiliza para saber qu cosas se pueden modificar del stub de un crypter para que no lo detecten los antivirus.
Los anotadores se suelen encriptar con un crypter, después se modifica con un editor hexadecimal el fichero encriptado y se
prueba a ver si funciona el anotador.
Todos esos cambios luego se aplicarían al stub del crypter para cifrar el troyano, se puede hacer de 2 formas:
a) Extraer el stub del anotador encryptado. Mediante un editor hexadecimal podemos llevar a cabo fácilmente esta operación.
Simplemente es necesario conocer el tamaño del 'stub' original y seleccionar desde el primer byte hasta el tamaño final del
'stub' y guardar los bytes se leccionados a un nuevo archivo.
b) Aplicar los mismos cambios al troyano encriptado.
Práctica:
4) Repetimos el paso anterior con el fichero encriptado1.exe, al nuevo fichero lo llamaremos encriptado2.exe
y así sucesivamente.
5) Se extrae el stub.
6) Se encrypta el troyano con el nuevo stub.
________________________________________________________________