8 AN1kAk

Indetectab|||zac|on de 1royanos. [1CDCS LCS ML1CDCS] 8y AN1kAk

Pola. Soy AnLrax. Llevo dlas preparando la gula de oro de los Lroyanos.
LsLa gula conLlene Lodos los meLodos poslbles de la red para hacer Lroyanos lndeLecLables. Ln oLras palabras es la recopllacln
ms grande de lnLerneL.

CCNCL1CS
rlmero que nada, Lendremos en cuenLa algunos concepLos:
CffseL: llrma, los offseLs son flrmas que los AnLlvlrus ellgen para deLecLarlo
SLub: Son los moldes que usan los Lroyanos para armar sus servers
Servers: Ls lo que envlamos a nuesLro ob[eLlvo
CllenLe: Ls lo que usamos para manlpular la C a la que aLacamos
luu: lull unueLecLed (lndeLecLable al 100)
Mtodo Antrax "1apando Cffsets" [Ld|c|n nexadec|ma|]

LsLe meLodo conslsLe en edlLar las flrmas deLecLables de un SLub para que quede lndeLecLable. Ls un meLodo basLanLe largo y
cosLoso, pero el ms efecLlvo.
Ll meLodo AnLrax conslsLe en dos parLes:
arLe 1:
Creamos una carpeLa que se llame fake2fuker en m|s documentos
Abrlmos el Av lucker

Ln Source llle selecclonamos el SLub o Servldor que queramos hacer lndeLecLable.
Ln uesLlnaLlon lolder, ponen la carpeLa en donde descompondrn los offseLs.
Ln SLarL ln CffseLs ponemos en donde queremos que comlence a descomponer
? en Lnd ln CffseL ponemos en donde queremos que Lermlne.
ara saber los valores de SLarL y los de Lnd, es necesarlo abrlr el LdlLor Pexadeclmal, en esLe caso el Pex WorkShop. una vez
ablerLo ponemos: C1ICNS IILL CIISL1 DLCIMAL. uespues de eso abrlmos nuesLro cllenLe o server y saldr algo asl:

Como podrn ver, en la lmagen comlenza con ocho ceros 00000000" eso qulere declr que ese valor va en SLarL ln CffseL. ?
luego ba[amos al Lodo y buscamos el ulLlmo numero de Lodos y lo ponemos en Lnd ln CffseL.
una vez hecho eso, pulsamos en SLarL!!! ? comenzara a fracclonar el SLub o Server por CffseL.
NC1A: Sl el dlsco duro se les llena y no alcanzaron a descomponerlo al Lodo, lnLenLen descomponer por parLes. L[: sl el Lnd
CffseL es 00020000, busquen la mlLad, y les quedara 00010000. ? sl no les resulLa, busquen la mlLad de la mlLad hasLa que les
enLre.
una vez que Lermlne de anallzar, le pasamos el AnLlvlrus a la carpeLa fake2fuker, y a los offseLs que nos deLecLe como vlrus,
debemos modlflcarlos. Sl el server esL muy quemado, deLecLara a unos 2000 offseLs. Ll Av va a deLecLar a uno o varlos
archlvos, por e[emplo: 0000249". LsLo qulere declr el numero de offseL que el Av ellgl para hacerlo mallcloso. LnLonces
debemos abrlr el edlLor hexadeclmal y preslonamos CLrl + C" que es un buscador:

Ln CffseL ponemos el numero del CffseL que deLecLo el Av. Las opclones Llldadas deben quedar como esLn en la lmagen, ?
preslonamos Co".
LsLo nos llevara dlrecLo al offseL mallcloso:

nos va a Llrar dlrecLo al offseL A093 ac esLa lo lmporLanLe, el meLodo conslsLe en sumar +1 o blen +2 o resLar -1 o blen -2 hay
que probar con varlos porque muchas veces al modlflcar el offseL se arrulna el server o cllenLe. Ln esLe e[emplo le vamos a
camblar el
A093 C8 A193
y asl camblamos Lodos los offseLs mallclosos que nos haya deLecLado el Av (AnLl vlrus).
uespues de haber modlflcado Lodo, guardamos el proyecLo del edlLor hexadeclmal CCn Lx1LnSlCn .LxL esLo es
lmporLanLlslmo!!!
llnalmenLe abrlmos el Av y se lo pasamos a nuesLro Server o SLub:

? llsLo!! ?a esLa lndeLecLable.
arLe 2:
uebldo a que esLe meLodo es muy compllcado ya que los Avs deLecLan muchos offseLs, lo que debemos hacer es lo slgulenLe:
Cpcln 1: 8uscamos un Server LdlLado de algun lado, sl no encuenLran, busquen en Club hacker que yo mlsmo los he subldo
(www.r00Lhack.webclndarlo.com ). una vez enconLrado, podrn observar que lo deLecLan pocos Avs. una vez anallzado pueden
proceder a la edlcln Pexadeclmal anLerlormenLe expllcada, y ser mucho ms fcll ya que habr menos offseLs
Cpcln 2: 8uscar un CrypLer, lo ms luu poslble, y una vez encrlpLado nuesLro Server o SLub, podrn observar que muchos
CffseLs fueron Lapados y podrn prosegulr con la edlcln Pexadeclmal anLerlor menLe menclonada y les ser mucho ms fcll
ya que Lendrn una menor canLldad de CffseLs.
LsLe meLodo es muy Lflcaz aunque cosLoso. ? una vez que el server fue modlflcado con esLe meLodo, puede de que dure anos
sln ser deLecLado.
rogramas necesarlos: hLLp://rapldshare.com/flles/89079403/1ools_8y_ulnnC.rar.hLml y el hLLp://www.hexworkshop.com/
-------------------------------------------------------------------------8y AN1kAk---------------------------------------------------------------------------------

Mtodo kI1 [Me[orado por AN1kAk]
LsLe meLodo Lamblen conslsLe en Lapar CffseLs. ero esLe es solo con programas. Los programas necesarlos son esLos:
kesnack: hLLp://rapldshare.com/flles/113721343/8esPacker.zlp.hLml
Lorde: hLLp://rapldshare.com/flles/113721322/LordL.zlp.hLml
1hem|da: hLLp://www.megaupload.com/es/?d=AM4u2k10
ILxpress: ya vlene con el C
Lo prlmero que debemos hacer es abrlr el 1hemlda, y proLeger nuesLro server.
ara ello segulmos los slgulenLes pasos:

Lo unlco que debemos hacer en esLa venLana es poner nuesLro server en lnpuL lllename.
uespues de esLo ponemos en el panel de la lzqulerda la opcln rotect|on Cpt|ons"

Ac solamenLe se marcan las opclones Ap||cat|on y kesources, lo dems lo de[as Lodo desmarcado y con Ant|-atch|ng en
None.
uespues nos dlrlglmos a vlrLual Machlne

ue[amos Lodo como esL menos esLo:
LnLry olnL vlrLuallzaLlon: 13
rocessor 1ype: MuLable Clsc rocessor
MulLlprocesor: 1 Cu
Cpcode 1ype: MeLamorph - Level 1
uynamlc Cpcode: ulsabled
uespues de esLo nos vamos a Advanced CpLlons

Se da[a Lodo como esL menos el LasL SecLlon name que se pone rhkv
una vez acabado Lodo esLo se le da cllc en ro[ect y despues, cuando haya acabado en C|ose
una vez Lermlnado esLo. 1endremos el server encrlpLado o proLegldo.
uespues de esLo, abrlmos el LordL
Ahora hacemos cllck en donde dlce kebu||d L y escogemos el server del Lroyano. Ahora hacemos cllck en L Ld|tor y se escoge
oLra vez el server del Lroyano.
8len, ahora nos saldr esLo:

Lo unlco que hay que hacer es sumarle uno a 8aseCfCode, 8aseCfDate, 1|meDateStamp y Checksum. L[: 00001000 quedarla
000010001 y asl con los menclonados anLerlormenLe
ara flnallzar cllcamos en Save y despues en Ck y se sale.
una vez flnallzado esLo, es el Lurno del lexpress.
1.- para que salga damos en lnlclo/e[ecuLar y escrlblmos lexpress
2.- nos sale algo como esLo

3.- uamos en SlgulenLe

4.-nos aseguramos de que esLe marcada la prlmera opcln y damos en slgulenLe.

3.- Aqul ponemos el nombre del paqueLe y damos en slgulenLe

3.- ue[amos el no rompL y damos en slgulenLe

6.- Aca Lamblen de[amos selecclonado la prlmera opcln y damos en slgulenLe

7.- 8len.. Ahora hacemos cllck en Add y agregamos prlmero el archlvo que quleras unlr (server.exe) y luego un archlvo
e[ecuLable que quleras que se muesLre al e[ecuLar el paqueLe, los dos archlvos Llenen que ser .exe y luego en slgulenLe. en esLe
caso vamos a uLlllzar un flash.

8.- donde dlce: lnsLall Lhe program pones el server o lo que quleras que se lnsLale y en el oLro el archlvo a mosLrar y slgulenLe.

9.- Aca nos aseguramos de que esLe selecclonado el prlmero y le damos en slgulenLe

10.- Ln esLa oLra Llenen la opcln para que muesLre o no un mensa[e al e[ecuLar.

11.- esco[emos el archlvo que van a unlrse los dos archlvos, esLe sera el archlvo e[ecuLado por el usuarlo, en esLe caso beach.

12.- nos da la opclon de relnlclar, relnlclar Lodo o solo relnlclar sl es necesarlo, selecclonen la opclon nC 8LS1A81. ahl me
equlvoque en la lmagen.

13.- le damos en no, es para guardar lnformaclon del paqueLe o no guardar la lnfo

14.- llsLo ahora solo dale en slgulenLe para crear el paqueLe y ya.
Solo queda camblarle el lcono para que pase desaperclbldo.
Ahora es el Lurno del 8esPacker.
abrls el 8esPacker y despues abrls Lodas las carpeLas, como aparece en la foLo:


Como vels aparecen Lodo carpeLas (Av, lcon, ulalog eLc.) y subcarpeLas, (3001 y Lodas esas) bueno, pues los archlvos que hay
denLro de las subcarpeLas le das con el boLn secundarlo y 8orrar
Pay que borrar Lodos los archlvo que hay en el server excepLo lo que hay en kCData.
Sl has hecho Lodo blen quedar al flnal solo la carpeLa 8CuaLa, blen, ahora le das cllck en Arch|vo y cllc en Guardar como. y
sobrescrlbls el server.
Ahora ya Lenemos el server casl lndeLecLable. Solo hay que pasar oLra vez el Lorde con la conflguracln que dl al prlncplo de
esLe LuLorlal.
lmgenes: Alexandre y WoLan MeLodo 8l1: LdlLado 8y An18Ax
ML1CDC MLLA 8y MA2AkD

Introducc|on
El mejor modo de hacer indetectable un troyano es modificando la firma de modo que el cdigo
siga haciendo lo mismo de forma un poco distinta, esto sin saber ensamblador puede resultar algo
complicado, con otros mtodos como el mtodo rit y el mtodo que voy a explicar no necesitan de
apenas conocimientos sobre ensamblador y son pura mcanica. La ventaja que aporta este mtodo
respecto al rit de hackxcrack es que no representa ningn problema que la firma est en una parte
encriptada del cdigo, o en alguna parte en la que introducir cdigo directamente represente un
problema para el funcionamiento del programa. Adems a diferencia del rit al no tener que
interpretar la instruccin correspondiente a cierto punto de la firma se puede automatizar
fcilmente.

El Mtodo MEEPA

La mayora de antivirus, como el kaspersky cuando se le pide que analice la memoria no est
realmente buscando firmas en ella sino que mira los programas en ejecucin y analiza en disco sus
ejecutables y librerias cargadas.
Entonces que pasara si en disco no existe la firma pero en memoria si?
Que el virus no seria detectado y funcionaria perfectamente.
Por lo tanto lo que haremos ser:
1-Modificaremos un byte de la firma en disco para que el antivirus no detecte el troyano.
2-Crearemos espacio en el exe para introducir nuestro cdigo.
3-Cambiaremos el punto de entrada del exe para que inicialmente se ejecute nuestro cdigo.
4-Desde nuestro cdigo cambiaremos EN MEMORIA el byte que habamos modificado por su
valor original.
5-Saltaremos desde nuestro cdigo al punto de entrada real del programa.

Herramientas Necesarias

-El troyano que vamos a modificar.
Ser el server del nuclearrat 1.0 configurado para que conecte a 127.0.0.1 y se instale en
c:\windows\trojanezine.
-El studpe para modificar la cabecera pe32 del exe.
-Un editor hexadecimal.
-Partimos de la base que la firma de kaspersky para este troyano es desde 6f81 hasta
aproximadamente 7147.


Junto con la ezine tienes el troyano para testear y el studpe, estn los dos encriptados con contrasea
ya que el nuclearrat lo detectarn todos los antivirus y el stud_pe puede que algunos lo detecten
como hack tool. La contrasea para descomprimir el paquete es "mtodo meepa"
Editores hexadecimales hay miles por internet, yo aconsejo hdd hex editor, no est nada mal y tiene
una versin gratuita.

Recolectando Informacion

PE32 significa portable executable y fue diseado por Microsoft para tener el mismo formato de
archivos ejecutables para todos los windows. Nosotros no necesitamos conocer mucho sobre l, lo
que nos interesa es modificarlo para poder aadir cdigo al ejecutable y cambiar el punto de entrada
de este.

Con el troyano cargado en el studpe vemos toda la informacin de la cabecera pe32 de nuestro
troyano. Cogemos el imagebase(13fd0000) y lo sumamos al entrypoint rva(7dd0) nos dar la
direccin absoluta una vez cargado en memoria del punto de entrada del programa (13fd7dd0)
Ahora le damos a rva<=>raw e introducimos en file offset el inicio de la firma (6f81), debajo nos
devolver la direccin virtual de ese punto de la firma (13fd7b81)



Mas adelante veremos para que queremos esta informacin.






Modificando el PE32

Crear espacio en el exe para nuestro cdigo no es absolutamente necesario, podriamos utilizar
espacios vacos por la alineacin del ejecutable. Para los que conozcan un poco el formato PE sera
a partir del pointertorawdata+virtualsize y tendramos un espacio libre de virtualsize-sizeofrawdata,
pero es posible que no exista este espacio y el proposito del artculo es que el mtodo sea genrico.
Otra posibilidad sera crear una nueva seccin para nuestro cdigo pero en algunos casos podra
darnos problemas y nos obligara a reajustar casi todo el archivo, as que vamos a lo mas fcil,
ampliaremos el espacio de la ultima seccin del ejecutable, emplazando nuestro cdigo justo al final
del exe.
Vamos a sections y vemos que en nuestro caso concreto la ltima seccin es ".rsrc" le damos clic
derecho "edit header" sumamos el raw offset y el raw size y nos dar 35200, esto es el punto en el
que empezar nuestro cdigo, si cargamos el programa con un editor hexadecimal veremos que es
justo en el final, si no fuera as significara que el troyano aade los datos de configuracin en el
mismo archivo pero fuera del exe, por lo que deberamos insertar el cdigo que veremos mas
adelante justo en este punto dejando lo que ya haba en el final.

En raw size le sumaremos 200 (512 bytes en hexadecimal) y en el caso de que el raw size sea mas
grande que el virtual size le sumaremos a este ultimo 1000. Decir que el raw size y el virtual size no
pueden ser cualquier cosa, tienen que ser multiplos de la alineacin del archivo y la seccin. Pero
nosotros sea cual sea el troyano objetivo con ampliar 512bytes tal y como lo montamos tendremos
mas que suficiente. Tambin le damos permisos de ejecucin a la seccin para que se pueda lanzar
nuestro cdigo. Quedara as:




Ahora hacemos click en Rva<=>raw y en file offset ponemos el inicio de nuestro cdigo 35200 nos
dar la direccin virtual relativa (a image base) y lo introducimos en el entrypoint(rva) de este modo
conseguimos que lo primero que se ejecute al lanzar el exe sea el trozo que hemos ampliado de la
seccin (nuestro cdigo). Dado que hemos aumentado el tamao de una seccin en 512 bytes (200)
tenemos que aadirlo al tamao total del exe por lo que size of image quedar en 3B200.
Pulsamos "save to file" para guardar los cambios, quedara as:



Por ltimo le vamos a dar permisos de escritura en la seccin de codigo, vamos de nuevo a sections,
clic derecho a la seccin code, edit headers y seleccionamos mem_write:
Esto lo hacemos para que se nos permita cuando este el programa cargado en memoria escribir en el
punto modificado de la firma su valor real.

Escribiendo nuestras 3 lineas de cdigo

Que hemos hecho hasta ahora?
1-Hemos aadido espacio en la ltima seccin del pe (espacio al final del exe)
2-Hemos cambiado el punto de entrada del programa para que lo primero que se ejecute sea lo que
haya en el espacio que hemos aadido
3-Hemos recolectado informacin necesaria:
Offset en disco del byte de la firma: 6f81
Direccion virtual del byte de la firma: 13FD7B81
Antigua Direccion virtual de entrada al programa: 13fd7dd0

Ya tenemos el exe preparado y la informacin necesaria. Ahora vamos al tajo, abre el archivo con
tu editor hexadecimal.
Nos vamos a la direccin 6f81 que es el punto de la firma a modificar, nos apuntamos el valor que
hay ah (53) y lo sobrescribimos con cualquier cosa (11 mismo). En este punto el programa ya no es
detectado, pero petar por dos motivos:
1-Hemos modificado el byte de la firma aleatoriamente y por lo tanto nos hemos cargado el
programa.
2-El punto de entrada al programa va a un sitio donde no hay cdigo.

Solucionemos los problemas creando el cdigo que reestablecer el byte modificado:

mov byte ptr [13fd7b81],53
Con esto se copiar el byte 53 a la posicin de memoria que en el archivo habiamos puesto 11.
push 13fd7dd0
ret
Con estas dos instrucciones saltaremos al punto de entrada real del programa (una enva la
direccin a la pila y la siguiente coge el ltimo valor puesto en la pila y "salta" a l. No utilizamos
el jmp porque podra darnos problemas con la direccin del salto.

La representacin hexadecimal de las instrucciones anteriores sera:
c605 817bfd13 53 -->c605 representa "mov byte ptr" el siguiente es la direccin y el siguiente el
valor que introducimos
68 d07dfd13-->68 representa "push" y el siguiente es el valor que introducimos
c3-->c3 representa ret

Si te fijas las direcciones estn al revs cogidas de dos en dos, esto es debido al endian, tampoco
entraremos en esto, con que sepas que las direcciones se representan as es suficiente:
13 fd 7b 81 => 81 7b fd 13
13 fd 7d d0 => d0 7d fd 13
3 aa 42 12 => 12 42 aa 03

Ahora vamos a introducir este cdigo con el editor hexadecimal, nos vamos al final del ejecutable
(35200) e insertamos el cdigo anterior. Tambin tenemos que recordar que habamos aadido
512bytes (200) y aunque solo rellenemos unos cuantos estos deben existir fisicamente en el archivo,
as que hasta 35400 insertamos nulos.



Guardamos y listo. Troyano indetectable y 100% funcional.
Autor: MazarD


Manua| Indetectar servers


nerram|entas:
hLLp://foro.porLalhacker.neL/lndex.php/board,80.0.hLml

Cpen Crypter(so|o para e| pos|on):
hLLp://rapldshare.com/flles/134133101/Cpen_CrypLer__dlclembrell_.rar.hLml

LsL probado con los servers del 8lfrosL 1.2.1 y el polson 2.3.0 en el polson anLes que pasarle el Lhemlda Llenen que pasarle un
crypLer al server por e[emplo el Cpen crypLer,
despues slguen el proceso..


Advanced Cpt|ons




en Last Sect|on Name: ponen lo que quleran.

V|rtua| Mach|ne lo de[amos como en la lmagen



rotect|on Cpt|ons lo de[amos asl



y le damos a rotect para Lermlnar



Ahora le pasan el Iexpress, que mas arriba esta explicado.

Ahora lo Llenen que unlr con algun blnder o con el mlsmo lexpress para despues poder pasarle el rlpacker slno no podran
pasarlo y les Llrar eorres.Ln ml caso lo voy a unlr a un AuLocllcker
esLe ser el resulLado



despues e[ecuLamos el 8Lacker y vamos a 8rowse y buscan el archlvo



marcan las caslllas como en la lmgen y lo que esLa marcado en ro[o.

nC1A: Les dlr algo del "SLrlp 1LS" le dlcen que nC.
nC1A2: Cuando Lermlne el programa le dlcen que nC slno se e[ecuLar y se lnfecLarn usLedes mlsmos.







by .nux si quieren copior e/ monuo/ respeten /o fuente. Poro porto/hocker













ML1CDC AN1kAk II

Lste mtodo |o h|ce hace bastante t|empo con |a pr|mera vers|n de| b|frost, y aun func|ona.

nerram|entas:
- PROCDUMP
- UPX


1.- Crear e| Server:



En este caso la compresion no esta activada (Autopack Server), por que despues lo vamos a comprimir
con el upx, , mas adelante voy a explicar esa parte.







Ahora si entramos a la parte bonita , al momento de darle a Sections nos va a arrojar el Section editor, el
cual en la cabecera hay un peculiar numero E0000020, eso nos dice que es ejecutable y que no esta
comprimido, toncessss, se lo cambiamos a C0000040, eje, que paso ah, pues lo estamos poniendo como
si estuviera empaquetado



Bueno, le damos ok, ok, ok ,ok a todo, pssss , la huevadita esta a media caa, nos vamos a nuestra carpeta
del upx y copiamos el server ya modificado y lo comprimimos con la sentencia c:\upx 9 server.exe y
esto nos bota:



Bueno ya lo tenemos apretado de nuevo, entonces , volvemos con nuestro programita especial
PROCDUMP y volvemos hacer los pasos anteriores pero, antes que todo modificamos ahora si
El Entry Point 0000BD40 en mas 1 , osea 0000BD41



Igual entramos Section como la ves anterior y modificamos el UPX1 click derecho , edit section y
modificamos el offset en + 1 , 00000400 en 00000401, le damos ok ok ok ok . etc



Y listo! Tendremos nuestro server indetectable!

Espero que les haya gustado a todos!
Dudas: an7r4x botmail.com
1odos los Lroyanos y cosas de esLe LuLo lo podes enconLrar en: www.r00Lhack.webclndarlo.com