ВАЖНО Делаем криптор вместе
- Автор темы X-Shar
- Дата начала
- Регистрация
- 03.06.2012
- Сообщения
- 6 094
- Репутация
Глянул, интересный метод, спасибо...
Как понял вы зашифровали шеллкод методом xor, а потом расшифровываете его и запускаете уже вирус, через этот шеллкод ?
А сам загрузчик, это как я понимаю движок от Инди ?
Ну и как работает, не сбоит ?
Интересно ещё реакция АВ, на готовых вирусах уже тестили-нет, если не сложно можно на готовом вирусе потестить ?
Ну и что-бы на запуск, работоспособность не теряется ?
Ну код я достал из этого стаба -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
У меня в крипторе загрузчик и вирус шифруются алгоритмом RC4, + при создании стаба, я смешиваю его с кодом другой программы чтобы было много мусора. Тестировал закриптованный Pony 2.0 на Win7 32 и XP 32, всё норм работает. Сканировал через "Dark NET Razorscanner" - результат 0/59 (FUD), при запуске тестил только на Avast. Думаю бессмысленно кодить на C++, дельфи достаточно, есть много готовых решений...
Обнаружил в логах Pony 2.0 отчёты с Win7 64 и 8 64...
Последнее редактирование:
- Регистрация
- 03.06.2012
- Сообщения
- 6 094
- Репутация
Ну обычно кто в чём умеет, тот в том и кодит...
Просто си более приближен так сказать к железу и как следствие возможностей там больше, НО этими возможностями нужно уметь пользоваться, если на си делать тоже что и на делфи, например криптовка/раскриптовка строк, обработка строк, ассемблерные вставки, то-да безразницы на чём кодить, где лучше получается там и кодить...
Если-же работа с памятью, работа с указателями и т.д., обычно на си это сделать проще и удобней чем на Делфи, а какие-то вещи на делфи сделать и вовсе нельзя...
- Регистрация
- 03.06.2012
- Сообщения
- 6 094
- Репутация
Indy, а можете посмотреть вот этот криптор от pastorok, https://ru-sfera.pw/threads/kriptor-ot-pastorok-0-59.2248/
Интересно ваше мнение, я проверил на разных АВ, в целом выполняет своё назначение, т.е. детекта нет в памяти, из проверенных мной АВ, детектит только Доктор, и-то там какие-то поведенческие факторы срабатывают...
Криптор на сколько я понял сделан по методике как здесь !
По поводу треша согласен, но это возможно из-за Делфи, а какие-то советы по улучшению ещё есть, или замечания ?
Только не сильно сложные, что-бы смогли понять, можно в теории только, если не затруднит конечно !
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
От Инди повеяло позитивом)Продолжение его фразы:"...а вот в наше время!".Прям как деды на лавочках.
Инди,ну так здесь нет илитных кодеров.И впрямь,как попросил X-Shar,покажи мастер-класс..а?
- Регистрация
- 21.01.2015
- Сообщения
- 277
- Репутация
X-Shar
> детекта нет в памяти, из проверенных мной АВ, детектит только Доктор
Тут нужно уточнить. Детекты бывают разные, в частности в статике и в динамике. Именно дрвеб сканит память процессов и ищет в ней сигнатуры. Это динамика. Также к динамике относятся детекты проактивной защитой.
Обход детекта в памяти довольно сложная задача, она требует разделения кода и данных, чтобы было возможно выполнять код пошагово, раскодируя инструкцию налету. Во втором случае нужен качественный морф, но это также требует отличия данных от кода. Соответственно код должен быть особым образом написан и собран.
Сделать надстройку, скрывающую произвольный код проблемно.
Далее сигнатурный детект. Чтобы авер не обнаружил сигнатуры статически необходимо останавливать его эмулятор. Это также является проблемой, частично разрешённой в VMBE. Использование локальных методов не эффективно - чистку проводить придётся вручную, изменяя метод антиэмуляции.
> детекта нет в памяти, из проверенных мной АВ, детектит только Доктор
Тут нужно уточнить. Детекты бывают разные, в частности в статике и в динамике. Именно дрвеб сканит память процессов и ищет в ней сигнатуры. Это динамика. Также к динамике относятся детекты проактивной защитой.
Обход детекта в памяти довольно сложная задача, она требует разделения кода и данных, чтобы было возможно выполнять код пошагово, раскодируя инструкцию налету. Во втором случае нужен качественный морф, но это также требует отличия данных от кода. Соответственно код должен быть особым образом написан и собран.
Сделать надстройку, скрывающую произвольный код проблемно.
Далее сигнатурный детект. Чтобы авер не обнаружил сигнатуры статически необходимо останавливать его эмулятор. Это также является проблемой, частично разрешённой в VMBE. Использование локальных методов не эффективно - чистку проводить придётся вручную, изменяя метод антиэмуляции.
