ВАЖНО Делаем криптор вместе

[ja_far]

О, чуваки! Я в шоке)) Гуглил тут антиэмуляцию и наткнулся на ваш форум. Такое впечатление что от крипторов сорцы остались только от морфина, ваших этих пару, да мой - на весь интернет)) Пытаюсь почистить свой криптор наткнулся на ряд проблем. Сменил алгоритм шифрования и выбросил все ненужное, но Qih00360 и ClamAV палят даже пустую болванку скомпиленую на делфи. Т.е. - выбрасываю весь код из стаба - они всеравно палят)) Если криптую этим стабом что-то безобидное - никто кроме них не палит, но если вредное - пробивает проактивкой еще 6 АВ. В итоге такой вывод: решил что нужно перевести сорц стаба на с++ и опять же никак без антиэмуляции не обойтись. Если сдесь есть кто-нить кто шарит с++ и делфи буду признателен за сотрудничество. Со мной можно связаться по жабе jafar [at] ol0lo.ru

 

[X-Shar]

В итоге такой вывод: решил что нужно перевести сорц стаба на с++ и опять же никак без антиэмуляции не обойтись.

Кстати по поводу Делфи, тоже это обнаружил ещё с Авирой, на каком-то старом вирусе, короче детектил как Делфи что-то там...

Поэтому не исключено что АВ как-то на комилятор реагирует...

С исходниками да печалька, к сожалению когда коментов мало, то и от исходника тоже мало толко, ну или нужно быть гугру такой код читать, но тогда и исходник не нужен будет...

 

[X-Shar]

решил что нужно перевести сорц стаба на с++

Ещё хочу добавить если переносить на C++ Bulder 6, то проблем быть не должно, если не менять логику программы, но есть-ли смысл ?

А с логикой я к сожалению не могу помочь, т.к. мало что понял в работе стаба ! ;)

 

[ja_far]

Мне понравилась реализация как вы запихиваете криптованый файл в стаб - не в ресурсы как у меня, а через разделитель. Ну а загрузчик который у вас в стабе походу спиздили откуда-то ? )) У меня в стабе все куда проще чем у вас - если только выбросить старый мусор, так как у меня загрузчик - шеллкодный, а кода минимум. Могу дать голый стаб - там все предельно ясно. Так что шарит кто-то си++ и делфи? Лучше в жабу отпишите.

 

[X-Shar]

Ну а загрузчик который у вас в стабе походу спиздили откуда-то ? ))

Ну-да по ходу дело этот "Мой" криптор, это сборник кода: Запуск в памяти - Испанцы помогли, Антиэмуль - Хабр помог...

Моего там очень мало, что касается С++ тут есть кто хорошо шарит, может кто и отпишится...

У меня к сожалению со временем проблемы, хотя если нужно просто перенести, были у меня проекты где переносил с Делфи на С++ Bulder среды похожи, ничего такого сложного нет...

Но могут возникнуть сложности, что придётся сидеть тратить время и напрягаться, поэтому пока я пас, хотя задача интересная для меня !

 

[ja_far]

Ради интереса решил позаимствовать пару ваших идей из криптора, но призадумался - у криптованных файлов происходит раздувание оверлея, что походу не совсем гуд. Может выглядеть подозрительно для АВ.. Кроме того файлы которые используют собственный оверлей - как я понимаю, работать не будут. Загрузчик ваш спален - там далеко не заедешь. Можно поэксперементировать с моим шеллкодным загручиком и хранением криптованого мусора в оверлее.

 

[ja_far]

Я не совсем вкурил насчет антиэмуляции, как вы её реализовали если она таки есть? И ещё одно, не лейте на virustotal ничего.

[HIDE=20]
Юзайте вот это:
http://scanner.fuckav.in

Scanner
ASMJ3faj38

Только не злоупотребляйте сильно и нигде этого не публикуйте.
[/HIDE]

Вначале топика подымалась тема полиморфиков, вот один из самых известных с сорцами:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

И еще, по поводу криптора вашего забыл добавить - я бы юзал пароль в качестве разделителя между стабом и шифрованым кодом)

 

[Антоха]

И ещё одно, не лейте на virustotal ничего.

Цитата из хацкерской библии:"Не лей файл илитный на VT дьявольский,ибо гореть будешь в геенне огненной!".
Приветствую тебя на нашем форуме,ja_far!Ссори за маленький копипаст с моей стороны в отношении твоих сорцов.А насчёт ВТ,ты не думай,что мы тут такие дремучие и не знаем куда лить кодерские поделки)У нас и темка запилена для просвещения населения.

 

[ja_far]

Цитата из хацкерской библии:"Не лей файл илитный на VT дьявольский,ибо гореть будешь в геенне огненной!".
Приветствую тебя на нашем форуме,ja_far!Ссори за маленький копипаст с моей стороны в отношении твоих сорцов.А насчёт ВТ,ты не думай,что мы тут такие дремучие и не знаем куда лить кодерские поделки)У нас и темка запилена для просвещения населения.

Я за свободу информации! Не извиняйтесь, напротив я рад что вам это интересно. И буду ещё более рад если мы вместе сделаем что-нибудь стоящее. Хотел позаимствовать из вашего криптора метод хранения данных в оверлее, и вроде бы все работает, но мой загрузчик почему-то неможет потом выполнить расшифрованный код, а ваш загрузчик работает но выдает огромную елку на сканере)) Походу к моему загрузчику нужны какие-то костыли для такого использования.. Короче вам нужен другой загрузчик и антиэмуляция - тогда будет FUD.

 

[X-Shar]

Я не совсем вкурил насчет антиэмуляции, как вы её реализовали если она таки есть?

Есть !

Не новый трюк с АПИ:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Не со всеми АВ это работает, но с топовыми работает почти всеми...

Вообще эту тему надо развивать при условии если при запуске АВ не будет детектить, а-то такие АВ как нода, др. веб, каспер часто детектят посля запуска в памяти а просто сигнатурный детект можно сбить и другими более лёгкими способами !

Ну и сразу скажу как отлаживать такие проги:

1)Если способ с ресурсами, то вначале нужно проверит что-бы правильно шифровал/расшифровывал ресурс, можно в начале сохранять ресурс на диск, а не в память;

2)Потом пробовать уже запустить из памяти БЕЗ антиэмуля;

3)Если всё ОК, то уже можно применять всякие антиэмули и скрытие

Вообще конечно можно подготовить каркас для новичков, если это актуально, а антиэмуляцию и всякие шеллы уже может каждый сделает сам (Ну либо найдёт в сети)...

Но если АВ будет детектить в памяти, нужно-ли это всё ?

Ну и вопрос в актуальности предложенной мной задумки (Про каркас для наовичков) ?

Или это стрёмная тема, я как-бы тоже нуб в этой тематике, может что-то не понимаю, либо понимаю не правильно !