Renuncia de responsabilidad

La informacin contenida en este tutorial est destinada nicamente para fines educativos. Usted es completamente responsable del uso que haga de la informacin contenida en este tutorial. El autor no asume ninguna obligacin ni responsabilidad a cualquier persona con respecto a cualquier prdida o daos relacionados directa o indirectamente a la informacin en este tutorial. El autor renuncia a todas las representaciones y garantas, expresas o implcitas.

ENTENDIENDO AVFUCKER Y DSPLIT

Como veo muchos novatos que cuando empiezan a moddear no entienden en qu consiste hacer avfucker y dsplit me decid a hacer este tutorial con el fin de facilitarles sus primeros pasos en el mundo del modding ya que muchas de las dudas que veo son producto de no conocer cmo funcionan estos programas. AVFUCKER: este programa lo que hace es crear copias del archivo a indetectar y a cada copia le modifica una parte (offset o rango de offset) distinta y contigua a la de la anterior indicando en el nombre de cada archivo avfuckeado los offset modificados. Veamos un ejemplo de cmo funciona avfucker, para esto tomaremos un archivo hipottico de slo 10 offset y veremos desde un editor hexadecimal que sucede al hacerle avfucker. Al abrir el archivo sin modificar con el editor hexadecimal nos encontramos con esto:

Archivo original.exe: A1 75 F4 40 B5 57 C9 25 F6 18 Ahora hacemos avfucker a 1 byte en todo el archivo rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_1.exe: A1 90 F4 40 B5 57 C9 25 F6 18 2_1.exe: A1 75 90 40 B5 57 C9 25 F6 18 3_1.exe: A1 75 F4 90 B5 57 C9 25 F6 18 4_1.exe: A1 75 F4 40 90 57 C9 25 F6 18 5_1.exe: A1 75 F4 40 B5 90 C9 25 F6 18 6_1.exe: A1 75 F4 40 B5 57 90 25 F6 18 7_1.exe: A1 75 F4 40 B5 57 C9 90 F6 18 8_1.exe: A1 75 F4 40 B5 57 C9 25 90 18 9_1.exe: A1 75 F4 40 B5 57 C9 25 F6 90

Ahora hacemos avfucker a 2 bytes en todo el archivo rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_2.exe: A1 90 90 40 B5 57 C9 25 F6 18 3_2.exe: A1 75 F4 90 90 57 C9 25 F6 18 5_2.exe: A1 75 F4 40 B5 90 90 25 F6 18 7_2.exe: A1 75 F4 40 B5 57 C9 90 90 18 9_2.exe: A1 75 F4 40 B5 57 C9 25 F6 90 90 En este caso se agrega un offset ms al archivo para poder completar el bloque de 2 bytes. Ahora hacemos avfucker a 5 bytes en todo el archivo rellenado con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_5.exe: A1 90 90 90 90 90 C9 25 F6 18 6_5.exe: A1 75 F4 40 B5 57 90 90 90 90 90 En este caso se agrega un offset ms al archivo para poder completar el bloque de 5 bytes. Si prestaron atencin se habrn dado cuenta que el nombre de los archivos avfuckeados indica exactamente donde han sido modificados. Veamos por ejemplo el caso del archivo 5_2.exe: el primer nmero, en este caso el 5, indica el offset donde comienza la modificacin y el segundo nmero, en este caso el 2, indica cuantos offset fueron modificados a partir del offset donde comienza la modificacin. El archivo 5_2.exe indica que a partir del offset 5 fueron modificados 2 offset, quedando modificados los offset 5 y 6. As mismo otro archivo con el nombre 5100_100.exe indica que ha sido modificado entre los offset 5100 y 5200.

Si el bloque modificado es un nmero mayor o igual a diez, como en este ejemplo, esta tool en particular modifica un offset ms. Por eso el ltimo offset modificado es el 5200 y no el 5199.

DSPLIT: este programa lo que hace es crear copias del archivo a indetectar cortndoles o eliminando la ltima parte de cdigo (offset o rango de offset), cortndole a cada copia un bloque menos que a la anterior e indicando en el nombre de cada archivo splitado los offset modificados. Veamos un ejemplo de cmo funciona dsplit, para esto tomaremos el mismo archivo hipottico de slo 10 offset que venimos usando y veremos desde un editor hexadecimal que sucede al hacerle dsplit. Nuevamente al abrir el archivo sin modificar con el editor hexadecimal nos encontramos con esto:

Archivo original.exe: A1 75 F4 40 B5 57 C9 25 F6 18 Ahora hacemos dsplit a 1 byte en todo el archivo:

Los archivos splitados se veran as en el editor hexadecimal: 2_1.exe: A1 75 3_1.exe: A1 75 F4 4_1.exe: A1 75 F4 40 5_1.exe: A1 75 F4 40 B5 6_1.exe: A1 75 F4 40 B5 57 7_1.exe: A1 75 F4 40 B5 57 C9 8_1.exe: A1 75 F4 40 B5 57 C9 25 9_1.exe: A1 75 F4 40 B5 57 C9 25 F6

Ahora hacemos dsplit a 2 bytes en todo el archivo:

Los archivos splitados se veran as en el editor hexadecimal: 3_2.exe: A1 75 F4 5_2.exe: A1 75 F4 40 B5 7_2.exe: A1 75 F4 40 B5 57 C9 9_2.exe: A1 75 F4 40 B5 57 C9 25 F6 Ahora hacemos dsplit a 3 bytes en todo el archivo:

Los archivos splitados se veran as en el editor hexadecimal: 4_3.exe: A1 75 F4 40 7_3.exe: A1 75 F4 40 B5 57 C9 10_3.exe: A1 75 F4 40 B5 57 C9 25 F6 18 Si prestaron atencin se habrn dado cuenta que el nombre de los archivos splitados indica exactamente donde han sido modificados. Veamos por ejemplo el caso del archivo 7_3.exe: el primer nmero, en este caso el 7, indica el offset a partir de donde se cort el archivo y el segundo nmero, en este caso el 3, indica el tamao del bloque con que se est splitando, es decir, cuantos offset menos se cortarn al siguiente archivo splitado (10_3.exe). El archivo 7_3.exe indica que a partir del offset 7 fueron eliminados todos los offset, quedando como offset final el 6. As mismo otro archivo splitado con el nombre 4400_100.exe indica que ha sido cortado a partir del offset 4400 quedando como offset final el 4399.

APLICANDO AVFUCKER Y DSPLIT

Ahora veremos cmo aplicar avfucker y dsplit para localizar firmas y as poder indetectar malware. Empecemos, pero primero....que es una firma? es un trozo de cdigo de un programa que al ser escaneado por un programa antivirus le indica a este que se trata de algn tipo de malware. Nuestro objetivo es modificar dichas firmas de tal modo que el antivirus no las reconozca y por lo tanto no detecte el programa escaneado como malware. Pero cmo hacemos para encontrar una firma? Esto depende del nmero de firmas que detecte el antivirus, empezar explicando el caso ms bsico que es cuando slo tenemos una firma, luego veremos que sucede cuando hay ms. El archivo a indetectar ser Malware.exe y para localizar la ubicacin exacta de la firma utilizaremos avfucker. Este es el archivo Malware.exe visto desde el editor hexadecimal:

Malware.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 El trozo de cdigo mostrado en color verde ser la firma detectada por el antivirus. Al comenzar a hacer avfucker se lo debe hacer en todo el archivo y el tamao del bloque a modificar (nmero de bytes) variar segn el tamao del archivo, en este caso comenzaremos a 10 bytes porque se trata de un archivo pequeo pero lo usual es comenzar a 1000 bytes e ir bajando a 100, 10 y finalmente a 1 byte. El valor con el que se rellena puede ser cualquiera, en este caso utilizaremos 90. Hacemos avfucker a 10 bytes en todo el archivo rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_10.exe: 69 90 90 90 90 90 90 90 90 90 90 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 11_10.exe: 69 6E 64 65 74 65 63 74 61 62 6C 90 90 90 90 90 90 90 90 90 90 6F 72 70 2D 35 31 2E 6E 65 74 21_10.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 90 90 90 90 90 90 90 90 90 90 Si escaneamos con el antivirus y borramos detecciones el nico archivo que no es borrado es el 11_10.exe ya que al avfuckearlo se modific la firma y por lo tanto el antivirus no puede detectarla. Entonces si un archivo avfuckeado no es detectado significa que en el rango de offset donde fue modificado se encuentra toda o parte de la firma que detecta el antivirus, en este caso como slo hay un archivo

indetectado sabemos que en el rango de offset modificados en el archivo 11_10.exe se encuentra toda la firma. Esta es la forma en la que avfucker nos ayuda a encontrar la ubicacin de una firma, mostrndonos donde modificar para indetectar un archivo. Ahora sabemos que la firma est entre los offset 11 y 20 ya que esos son los offset modificados en el archivo 11_10.exe pero necesitamos precisar ms su ubicacin as que haremos avfucker a menos bytes, en este ejemplo lo haremos a 2 bytes y poniendo como rango a modificar el rango donde sabemos que est la firma, en este caso pondremos Offset Inicial: 11 y Offset Final: 20. Hacemos avfucker entre los offset 11 y 20 a 2 bytes rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 11_2.exe: 69 6E 64 65 74 65 63 74 61 62 6C 90 90 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 13_2.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 90 90 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 15_2.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 90 90 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 17_2.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 90 90 20 63 6F 72 70 2D 35 31 2E 6E 65 74 19_2.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 90 90 6F 72 70 2D 35 31 2E 6E 65 74 Al escanear con el antivirus los archivos indetectados son el 13_2.exe, 15_2.exe y el 17_2.exe ya que en todos se modifica una parte de la firma y por lo tanto el antivirus no puede reconocerla. Al encontrarnos con estos tres archivos indetectados podemos darnos cuenta que la firma se encuentra entre los offset 13 y 18 ya que el offset modificado ms chico en estos tres archivos indetectados es el 13 (en el archivo 13_2.exe) y el offset ms grande modificado es el 18 (en el archivo 17_2.exe). Para saber donde se encuentra exactamente la firma haremos avfucker a 1 byte poniendo como Offset Inicial: 13 y Offset Final: 18. Hacemos avfucker entre los offset 13 y 18 a 1 bytes rellenado con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 13_1.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 90 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 14_1.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 90 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 15_1.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 16_1.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 90 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 17_1.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 90 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 18_1.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 90 20 63 6F 72 70 2D 35 31 2E 6E 65 74

Al escanear con el antivirus, los archivos indetectados son el 14_1.exe, 15_1.exe, 16_1.exe y el 17_1.exe y por lo tanto sabemos que la firma est compuesta por los offset 14, 15, 16 y 17. Ahora slo es cuestin de modificar en nuestro archivo Malware.exe alguno de estos 4 offset y comprobar si contina siendo funcional, si el archivo modificado se ejecuta normalmente significa que sigue siendo funcional, de lo contrario debemos probar modificando otro offset. En caso que sea funcional tendremos nuestro archivo indetectado al antivirus y funcional. Ahora supongamos que el archivo Malware.exe tiene tres firmas: Malware.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 Firma 1 Firma 2 Firma 3 Si intentamos hacer avfucker solamente veremos que sucede: Hacemos avfucker a 10 bytes en todo el archivo rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_10.exe: 69 90 90 90 90 90 90 90 90 90 90 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 11_10.exe: 69 6E 64 65 74 65 63 74 61 62 6C 90 90 90 90 90 90 90 90 90 90 6F 72 70 2D 35 31 2E 6E 65 74 21_10.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 90 90 90 90 90 90 90 90 90 90 En este caso todos los archivos avfuckeados seran borrados al escanearlos con el antivirus porque aunque en cada uno modificamos una firma siguen quedando otras que el antivirus reconoce y por lo tanto detecta los archivos como malware y los elimina. En el archivo 1_10.exe modificamos la Firma 1 pero siguen estando intactas la Firma 2 y la Firma 3. En el archivo 11_10.exe modificamos la Firma 2 pero siguen estando intactas la Firma 1 y la Firma 3. En el archivo 21_10.exe modificamos la Firma 3 pero siguen estando intactas la Firma 1 y la Firma 2. Dsplit sirve para resolver este problema ya que nos permite aislar cada firma del resto y as poder modificarlas sin problema. Al comenzar a hacer dsplit se lo debe hacer en todo el archivo y el tamao del bloque a utilizar (nmero de bytes) variar segn el tamao del archivo, en este caso comenzaremos a 5 bytes porque se trata de un archivo pequeo pero lo usual es comenzar a 1000 bytes e ir bajando a 100, 10 y finalmente a 1 byte.

Primero hacemos dsplit a 5 bytes a todo el archivo:

Los archivos splitados se veran as en el editor hexadecimal: 6_5.exe: 69 6E 64 65 74 65 11_5.exe: 69 6E 64 65 74 65 63 74 61 62 6C 16_5.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 21_5.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 26_5.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31_5.exe: 69 6E 64 65 74 65 63 74 61 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 En este caso el nico archivo que no es borrado luego de escanear con el antivirus es el 6_5.exe ya que es el nico al cul se le modificaron todas las firmas que contena y por lo tanto el antivirus no lo detecta como malware. Ahora debemos hacer dsplit a menos bytes entre el ltimo archivo splitado indetectado y el primer archivo splitado detectado, en este caso el ltimo archivo splitado indetectado es el 6_5.exe y el primer archivo splitado detectado es el 11_5.exe por lo tanto haremos dsplit entre los offset 6 y 11. Hacemos dsplit a 2 bytes entre los offset 6 y 11:

Los archivos splitados se veran as en el editor hexadecimal: 8_2.exe: 69 6E 64 65 74 65 63 74 10_2.exe: 69 6E 64 65 74 65 63 74 61 62 Ahora si escaneamos con el antivirus el ltimo archivo indetectado es el 8_2.exe y el primer detectado es el 10_2.exe, entonces haremos dsplit entre los offset 8 y 10.

Hacemos dsplit a 1 byte entre los offset 8 y 10:

Los archivos splitados se veran as en el editor hexadecimal: 9_1.exe: 69 6E 64 65 74 65 63 74 61 10_1.exe: 69 6E 64 65 74 65 63 74 61 62 Una vez que llegamos a hacer dsplit a 1 byte tomamos el primer archivo splitado detectado, en este caso el 10_1.exe, y le hacemos avfucker ya que en l hemos logrado aislar la primer firma de las dems. Hacemos avfucker al archivo 10_1.exe a 5 bytes rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_5.exe: 69 90 90 90 90 90 63 74 61 62 6_5.exe: 69 6E 64 65 74 65 90 90 90 90 90 En este caso se agrega un offset ms al archivo para poder completar el bloque de 5 bytes. Escaneamos con el antivirus y el nico archivo indetectado es el 6_5.exe, entonces hacemos avfucker a 2 bytes entre 6 y 9 a menos bytes. Usamos 9 y no 10 como offset final porque el offset 10 est fuera de nuestro archivo. Hacemos avfucker a 2 bytes entre los offset 6 y 9 rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 6_2.exe: 69 6E 64 65 74 65 90 90 61 62 8_2.exe: 69 6E 64 65 74 65 63 74 90 90 Ahora escaneamos con el antivirus y no nos detecta ningn archivo avfuckeado porque en ambos modificamos la firma, entonces hacemos avfucker entre los offset 6 y 9 a 1 byte.

Avfucker a 1 byte entre los offset 6 y 9 rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 6_1.exe: 69 6E 64 65 74 65 90 74 61 62 7_1.exe: 69 6E 64 65 74 65 63 90 61 62 8_1.exe: 69 6E 64 65 74 65 63 74 90 62 9_1.exe: 69 6E 64 65 74 65 63 74 61 90 Escaneamos con el antivirus y ningn archivo avfuckeado es detectado, esto es porque justo dimos con la ubicacin de la firma, entonces la firma est compuesta por los offset 6, 7, 8 y 9. Ahora slo es cuestin de modificar en nuestro archivo Malware.exe alguno de estos 4 offset y comprobar si contina siendo funcional, si el archivo modificado se ejecuta normalmente significa que sigue siendo funcional, de lo contrario debemos probar modificando otro offset. En caso que sea funcional le habremos quitado exitosamente una firma al archivo Malware.exe. Nosotros modificaremos el offset 8 con valor 90 y luego continuaremos con la siguiente firma:

Ahora el archivo Malware.exe tiene dos firmas: Malware.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 Firma 2 Firma 3 Como nuestro archivo a indetectar an tiene ms de una firma tendremos que hacer dsplit primero y luego avfucker. Hacemos dsplit a 5 bytes en todo el archivo Malware.exe modificado:

Los archivos splitados se veran as en el editor hexadecimal: 6_5.exe: 69 6E 64 65 74 65 11_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 16_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 21_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 63 26_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 Ahora escaneamos con el antivirus y el ltimo archivo splitado indetectado es el 16_5.exe y el primero detectado es el 21_5.exe, entonces hacemos dsplit entre los offset 16 y 21 a menos bytes. Hacemos dsplit entre los offset 16 y 21 a 2 bytes:

Los archivos splitados se veran as en el editor hexadecimal: 18_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 20_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 En el caso que hagamos dsplit y sean detectados todos los archivos splitados, como en este caso, se debe volver a hacer dsplit a un nmero menor de bytes en el mismo rango y de repetirse esta situacin se debe continuar disminuyendo el nmero de bytes hasta llegar a hacerlo a 1 byte.

Hacemos dsplit a 1 byte entre los offset 16 y 21:

Los archivos splitados se veran as en el editor hexadecimal: 17_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 18_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 19_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 21_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 74 20 26 20 63 Si escaneamos con el antivirus, el primer archivo splitado a 1 byte detectado es el 17_1.exe y por lo tanto es en el que hemos aislado la segunda firma de las dems (en este caso slo nos queda una ms), entonces ahora haremos avfucker sobre el archivo 17_1.exe para encontrar la ubicacin de la segunda firma. Hacemos avfucker al archivo 17_1.exe a 5 bytes rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_5.exe: 69 90 90 90 90 90 63 74 90 62 6C 65 73 2E 6E 65 74 6_5.exe: 69 6E 64 65 74 65 90 90 90 90 90 65 73 2E 6E 65 74 11_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 90 90 90 90 90 74 16_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 90 90 90 90 90 En este caso se agregan 4 bytes al archivo para completar el bloque de 5 bytes. Si escaneamos con el antivirus los archivos indetectados son el 11_5.exe y el 16_5.exe, como el archivo 16_5.exe modifica fuera del archivo haremos avfucker a menos bytes entre el offset 11 y el 16 (que es el offset final)

Hacemos avfucker a 2 bytes entre los offset 11 y 16 rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 11_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 90 90 2E 6E 65 74 13_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 90 90 65 74 15_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 90 Si escaneamos con el antivirus los archivos indetectados son el 13_2.exe y el 15_2.exe entonces haremos avfucker a 1 byte entre los offset 13 y 16. Hacemos avfucker a 1 byte entre los offset 13 y 16 rellenando con valor 90

Los archivos avfuckeados se veran as en el editor hexadecimal: 13_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 90 6E 65 74 14_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 90 65 74 15_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 16_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 65 90 Si escaneamos con el antivirus, los archivos avfuckeados a 1 byte indetectados son el 13_1.exe, 14_1.exe, 15_1.exe y el 16_1.exe, por lo tanto la segunda firma est compuesta por los offset 13, 14, 15 y 16. Ahora slo es cuestin de modificar en nuestro archivo Malware.exe alguno de estos 4 offset y comprobar si contina siendo funcional, si el archivo modificado se ejecuta normalmente significa que sigue siendo funcional, de lo contrario debemos probar modificando otro offset. En caso que sea funcional le habremos quitado exitosamente otra firma al archivo Malware.exe. Nosotros modificaremos el offset 15 con valor 90 y luego continuaremos con la siguiente firma:

Ahora el archivo Malware.exe tiene una firma: Malware.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 Firma 3 Aunque el archivo Malware.exe tiene una sola firma nosotros al moddear un archivo no lo sabramos y por lo tanto seguiremos haciendo dsplit. Hacemos dsplit a 5 bytes en todo el archivo Malware.exe modificado:

Los archivos splitados se veran as en el editor hexadecimal: 6_5.exe: 69 6E 64 65 74 65 11_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 16_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 21_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 26_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 31_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 31 2E 6E 65 74 Ahora escaneamos con el antivirus y el ltimo archivo splitado indetectado es el 21_5.exe y el primero detectado es el 26_5.exe, entonces hacemos dsplit entre los offset 21 y 26 a menos bytes. Hacemos dsplit entre los offset 21 y 26 a 2 bytes:

Los archivos splitados se veran as en el editor hexadecimal: 25_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 23_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 En el caso que hagamos dsplit y ninguno de los archivos splitados sea detectado, como en este caso, se debe volver a hacer dsplit a un nmero menor de bytes en el mismo rango y de repetirse esta situacin se debe continuar disminuyendo el nmero de bytes hasta llegar a hacerlo a 1 byte.

Hacemos dsplit a 1 byte entre los offset 21 y 26:

Los archivos splitados se veran as en el editor hexadecimal: 22_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 23_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 24_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 25_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 26_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 Si escaneamos con el antivirus, el primer archivo splitado a 1 byte detectado es el 26_1.exe y por lo tanto es en el que hemos aislado la tercer firma de las dems (en este caso ya no nos quedan ms firmas) entonces ahora haremos avfucker sobre el archivo 26_1.exe para encontrar la ubicacin de la tercera firma. Hacemos avfucker al archivo 26_1.exe a 5 bytes rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 1_5.exe: 69 90 90 90 90 90 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 6_5.exe: 69 6E 64 65 74 65 90 90 90 90 90 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 35 11_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 90 90 90 90 90 74 20 26 20 63 6F 72 70 2D 35 16_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 90 90 90 90 90 6F 72 70 2D 35 21_5.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 90 90 90 90 90 Si escaneamos con el antivirus el nico archivo avfuckeado indetectado es el 21_5.exe por lo tanto haremos avfucker a menos bytes entre los offset 21 y 25.

Hacemos avfucker a 2 bytes entre los offset 21 y 25 rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 21_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 90 90 70 2D 35 23_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 90 90 35 25_2.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 90 90 En este caso se agrega 1 byte al archivo para completar el bloque de 2 bytes. Si escaneamos con el antivirus, ninguno de los archivos avfuckeados es borrado, entonces hacemos avfucker a menos bytes en el mismo rango de offset, en este caso haremos avfucker a 1 byte entre los offset 21 y 25. Hacemos avfucker a 1 byte entre los offset 21 y 25 rellenando con valor 90:

Los archivos avfuckeados se veran as en el editor hexadecimal: 21_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 90 72 70 2D 35 22_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 90 70 2D 35 23_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 90 2D 35 24_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 90 35 25_1.exe: 69 6E 64 65 74 65 63 74 90 62 6C 65 73 2E 6E 90 74 20 26 20 63 6F 72 70 2D 90 Si escaneamos con el antivirus, los archivos avfuckeados a 1 byte indetectados son el 22_1.exe, 23_1.exe, 24_1.exe y el 25_1.exe, por lo tanto la tercera firma est compuesta por los offset 22, 23, 24 y 25. Ahora slo es cuestin de modificar en nuestro archivo Malware.exe alguno de estos 4 offset y comprobar si contina siendo funcional, si el archivo modificado se ejecuta normalmente significa que sigue siendo funcional, de lo contrario debemos probar modificando otro offset. En caso que sea funcional le habremos quitado exitosamente la ltima firma al archivo Malware.exe dejndolo indetectado. Nosotros modificaremos el offset 24 con valor 90, quedando as el archivo moddeado:

Agradecimientos para: Mingo por su tool Metal_Kingdom ya que un comentario suyo inspir este tutorial Este tutorial est dedicado a las comunidades de: [+] www.indetectables.net [+] www.corp-51.net

Tutorial hecho por pedrodf007