Kali ini kita coba mengakali antivirus biar ngak ndetect
lagi sama tool2 hacking kita… tool buat percobaanya saya pakek nc.exe (netcut
versi console)… sebelumnya saya upload dulu nc.exe nya ke virustotal.com buat
liat seberapa banyak antivirus yang mblokir tool ini… berikut hasilnya…
Ternyata dari 38 antivirus internasional 25 di antaranya
atau sekitar 65.78% ternyata menganggap tool ini sebagai virus… ok langsung
kita mulai saja untuk memperkecil angka ini…
tool yang dibutuhkan…
tool yang dibutuhkan…
1. target nc.exe
2. immunity debugger
3. LordPE (PE Editor… Download Di Sini http://www.woodmann.net/collaborative/tools/images/Bin_LordPE_2007-10-21_1.48_LordPE_1.41_Deluxe_b.zip)
4. Sebuah otak Plus kopi susu hangat… ^_^
2. immunity debugger
3. LordPE (PE Editor… Download Di Sini http://www.woodmann.net/collaborative/tools/images/Bin_LordPE_2007-10-21_1.48_LordPE_1.41_Deluxe_b.zip)
4. Sebuah otak Plus kopi susu hangat… ^_^
Pertama2 kita edit dulu pe nya biar writable… buka LordPEàklik PE Editoràbrowse nc.exeàklik Sectionàklik kanan “.text”àedit section headeràganti flags dengan “E0000020”
agar menjadi read write and excutable… lakukan hal yang sama untuk mengganti
“.rdata” dan “data” setelah selesi klik save lalu ok
Persiapan sudah selesai… langsung cekidot…
Attach nc.exe di immunity debugger… buka notepad
lalu copy 3 baris intruksi awal program di notepad…
00404AC3 > 6A
18 PUSH 18
00404AC5 68
98C04000 PUSH nc.0040C098
00404ACA . E8
69030000 CALL nc.00404E38
Alamat yang ada tanda > berarti awal intruksi akan di
jalanan… yaitu “00404AC3 >” selanjutnya cari alamat yang kosong alias
codecave biasanya ada di paling bawah code program…
Ayrbyte Xor Encryption
Mov ecx,[awal enkripsi]
Xor dword ptr ds:[ecx],13
Inc ecx
Cmp ecx,[akhir enkripsi]
Jnz [alamat intruksi xor]
[dua intruksi awal program]
Jmp [alamat ketiga intruksi program]
Hasilnya seperti berikut…
Lalu kembali ke awal program klik kananàGo ToàOrigin *
ganti awal program agar mengarah ke enkripsi… menggunakan perintah jmp
Taruh break point di enkripsi kita di alamat
0040A981 6A 18 PUSH 18
0040A981 6A 18 PUSH 18
Setalah itu run… kini
mulai dari alamat 00404aca sampai 0040A96C telah ter enkripsi… untuk melihatnya
klik kanan alamat ecx kemudian follow in dump
Kemudian klik kananàcopy
to excutableàall
modificationàklik
kanan-àcopy-àselect allàklik kananàsave fileàkemudian save dengan
nama nc1.exe
File nc1.exe yang telah di enkripsi tadi masih bias berjalan
normal… sekarang upload kembali di virus total…
berikut ini hasilnya…
berikut ini hasilnya…
Tara… sekarang sudah jauh berkurang bukan… dari 41 antivirus
sekarang Cuma 16 atau sekitar 39.02% saja yang masih mendeteksinya sabagai
virus… tentusaja ini masih jauh lebih baik dari yang sebelum di enkripsi tadi…
^_^
No comments:
Post a Comment