Ihr braucht 3 Tools:
1. DSplit.exe (Beigelegt)
2. Eine Exe die ihr FUD bekommen wollt
3. Den Virenschutz von dem Die exe nicht mehr erkannt werden soll.
Als erstes installiert ihr den Virenschutz und Startet mit der Konsole Dsplit.exe
DSplit ist ein Tool das euer Programm in kleine Scheiben zerteilt. So könnt ihr herausfinden an welcher stelle genau die Maleware-Signatur erkannt wird.
Die meisten AVs Systeme durchsuchen die Files nach bestimmten Signaturen und wenn ein Programm diese Signatur enthält wird es als Virus erkannt. Aber wenn man jetzt ein Programm hat das die Signatur enthält und nicht erkannt werden soll muss man die Signatur so abändern das sie nicht mehr erkannt wird aber trotzdem noch funktioniert
Hier könnt ihr verschiedene Parameter übergeben.
Mein Parameter ist hier:
Dsplit.exe 0 max 100 Server.exe
0 <— Von hier wird angefnagen das File zu zerlegen also vom Anfang an
max <—- Bis hier wird das File zerlegt bis ans ende
100 <– Das file wird in 100 Byte Scheiben zerlegt.
server.exe <— Die Exe die UD gemacht werden soll.
Als erstes zerteilen wir wie gezeigt das file in kleine Scheiben.
Dann Scannen wir alle Files mit dem AVs System in unserem Fall AVG
Wir sehen nun ab welcher Scheibe als Virus erkannt wird.
In unserem Fall ist die Signatur die erkannt wird irgendwo zwischen 100 und 200 Bytes
Also Zerlegen wir die Server.exe noch mal aber diesmal nur von 100 Bytes bis 200 Bytes und zwar in 10 Bytes große Scheiben.
Das ganze noch mal Scannen und das Ergebnis zeigt das bei 159 Bytes ie Signatur Komplett in der exe vohanden
etzt öffnen wir die Scheibe Server_0000000000159.exe im Hexeditor eurer Wahl weil sie ja auch ab dort erkannt wird.
Gehen ans Ende der Datei und schreiben uns die Adresse ab. In unserem Fall 00000090
Wir öffnen und die Server.exe die nicht in Scheiben zerschnitten ist und Suchen auch hier nach der Adresse.
Hier können wir den String suchen und Überschreiben. Manchmal kann man die Operation mit NOPs oder NULL-Bytes überschreiben.
Wenn dies nicht der Fall ist dann muss man die passende Funktion raussuchen die in der Kernel32.dll steht und die entsprechenden Zeichen ersetzen.
Und wir sehen das Ergebnis. Die Datei ist FUD und Funktioniert noch.
Bei Vielen AV- Systemen kann man auch einfach den ICON ändern und die EXE wird nicht mehr erkannt :P
Wenn ihr dies mit mehreren VirenSystemen durchmacht bekommt ihr eine FUD exe
Falls noch fragen offen sind könnt ihr mir eine PM zukommen lassen oder hier noch mal einen Vortrag von Backtrack Day anschauen in dem das ganze auch gezeigt wird.
Diese Tutorial ist selbst geschriben und ich hoffe ich habe euch weitergeholfen
Quelle: MfG NEO_2.0 @ HBA
MfG NEO_2.0
