• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

ВАЖНО Делаем криптор вместе

Нужная-ли статья ?

  • Да

    Голосов: 85 97.7%
  • Нет

    Голосов: 1 1.1%
  • Хернёй не надоело заниматься ?

    Голосов: 1 1.1%

  • Всего проголосовало
    87

pastorok

Пользователь
Форумчанин
Регистрация
04.02.2015
Сообщения
33
Репутация
19
я думаю, всё дело в таблице импорта, пробовал забивать нулями кодовую секцию но основной детект не пропадал. Потому эффективней смешивать импорт с другой программой.
 

pastorok

Пользователь
Форумчанин
Регистрация
04.02.2015
Сообщения
33
Репутация
19
Заменил memoryexecute на shellcode-RunPE, теперь загрузчик тоже можно шифровать, при желании.
Пароль: 222
 

Вложения

  • Криптор.zip
    241.2 КБ · Просмотры: 124

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Заменил memoryexecute на shellcode-RunPE, теперь загрузчик тоже можно шифровать, при желании.
Пароль: 222
Глянул, интересный метод, спасибо...wink1

Как понял вы зашифровали шеллкод методом xor, а потом расшифровываете его и запускаете уже вирус, через этот шеллкод ?

А сам загрузчик, это как я понимаю движок от Инди ?

Ну и как работает, не сбоит ?

Интересно ещё реакция АВ, на готовых вирусах уже тестили-нет, если не сложно можно на готовом вирусе потестить ?

Ну и что-бы на запуск, работоспособность не теряется ?Не въехал!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Function MemoryExecute - Не забудте убрать ещё, для уменьшения веса и палевности стаба...
 

pastorok

Пользователь
Форумчанин
Регистрация
04.02.2015
Сообщения
33
Репутация
19
Интересно ещё реакция АВ, на готовых вирусах уже тестили-нет, если не сложно можно на готовом вирусе потестить ?
Ну код я достал из этого стаба -
У меня в крипторе загрузчик и вирус шифруются алгоритмом RC4, + при создании стаба, я смешиваю его с кодом другой программы чтобы было много мусора. Тестировал закриптованный Pony 2.0 на Win7 32 и XP 32, всё норм работает. Сканировал через "Dark NET Razorscanner" - результат 0/59 (FUD), при запуске тестил только на Avast. Думаю бессмысленно кодить на C++, дельфи достаточно, есть много готовых решений...

Обнаружил в логах Pony 2.0 отчёты с Win7 64 и 8 64...
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Думаю бессмысленно кодить на C++, дельфи достаточно, есть много готовых решений...
Ну обычно кто в чём умеет, тот в том и кодит...

Просто си более приближен так сказать к железу и как следствие возможностей там больше, НО этими возможностями нужно уметь пользоваться, если на си делать тоже что и на делфи, например криптовка/раскриптовка строк, обработка строк, ассемблерные вставки, то-да безразницы на чём кодить, где лучше получается там и кодить...

Если-же работа с памятью, работа с указателями и т.д., обычно на си это сделать проще и удобней чем на Делфи, а какие-то вещи на делфи сделать и вовсе нельзя...WinkSmile
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
После сборки получилось треша больше, чем непосредственно нужного кода.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
После сборки получилось треша больше, чем непосредственно нужного кода.
Indy, а можете посмотреть вот этот криптор от pastorok, https://ru-sfera.pw/threads/kriptor-ot-pastorok-0-59.2248/

Интересно ваше мнение, я проверил на разных АВ, в целом выполняет своё назначение, т.е. детекта нет в памяти, из проверенных мной АВ, детектит только Доктор, и-то там какие-то поведенческие факторы срабатывают...

Криптор на сколько я понял сделан по методике как здесь !

По поводу треша согласен, но это возможно из-за Делфи, а какие-то советы по улучшению ещё есть, или замечания ?

Только не сильно сложные, что-бы смогли понять, можно в теории только, если не затруднит конечно !WinkSmile
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
После сборки получилось треша больше, чем непосредственно нужного кода...
От Инди повеяло позитивом)Продолжение его фразы:"...а вот в наше время!".Прям как деды на лавочках.
Инди,ну так здесь нет илитных кодеров.И впрямь,как попросил X-Shar,покажи мастер-класс..а?
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
X-Shar

> детекта нет в памяти, из проверенных мной АВ, детектит только Доктор

Тут нужно уточнить. Детекты бывают разные, в частности в статике и в динамике. Именно дрвеб сканит память процессов и ищет в ней сигнатуры. Это динамика. Также к динамике относятся детекты проактивной защитой.

Обход детекта в памяти довольно сложная задача, она требует разделения кода и данных, чтобы было возможно выполнять код пошагово, раскодируя инструкцию налету. Во втором случае нужен качественный морф, но это также требует отличия данных от кода. Соответственно код должен быть особым образом написан и собран.

Сделать надстройку, скрывающую произвольный код проблемно.

Далее сигнатурный детект. Чтобы авер не обнаружил сигнатуры статически необходимо останавливать его эмулятор. Это также является проблемой, частично разрешённой в VMBE. Использование локальных методов не эффективно - чистку проводить придётся вручную, изменяя метод антиэмуляции.
 
Автор темы Похожие темы Форум Ответы Дата
D СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 37
Z СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 3
Антоха СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 4
X-Shar СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 1
X-Shar СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 14
X-Shar СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 17
X-Shar СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 15
X-Shar СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 32
X-Shar СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 0
Верх Низ