ВАЖНО Делаем криптор вместе

[Антоха]

Я не пойму, а зачем вы криптованные файлы на ВТ кидаете, пытаясь почистить криптор?)

Потому,что криптор здесь никто не использует по назначению.Ребята балуются ради интереса,а не профита.Все прекрасно знают о не сливающих в лабы,сканерах.Но ВТ доступнее и точнее.

 

[denis7656]

Я не пойму, а зачем вы криптованные файлы на ВТ кидаете, пытаясь почистить криптор?)

Мы тут все знаем что можно на ВТ тестить а что нет, или Вы о чем ?

 

[Bless]

Мы тут все знаем что можно на ВТ тестить а что нет, или Вы о чем ?

вы правильно меня поняли)

 

[pastorok]

Не проще ли использовать массивы байт вместо строк? С трудом понимаю, какую роль играет процедура SetLength?

 

[X-Shar]

Не проще ли использовать массивы байт вместо строк? С трудом понимаю, какую роль играет процедура SetLength?

Можно и так, дело в том что строками легче оперировать (ИМХО), т.е. это поиск эллемента в строке, сложение строк и т.д.

А вообще если вы смотрели мой исходник, то быдлокод конечно там присутствует, даже сейчас немного стыдно стало что такое гавнесцо выложил, я учился просто не стану скрывать...

Если интересно, то про SetLength на сколько я помню, у меня вылетала программа из-за того-что строка получалась большего размера (т.е. когда я определял строку в цикле программа сбоила по ошибке), ну я не стал заморачиваться и тупо указал размер строки, незнаю насколько хорош этот приём, но проблему решило...

Если интересно, давайте обсудим как можно улучшить этот криптор, во первых код немешало-бы почистить код , а во вторых у меня есть пару улучшений, например:

1)Поменять алгоритм шифрование, всё-же XOR как-то несерьёзно;

2)Нехранить ключ расшифровки в программе, а например брутить его прям в программе;

3)Тут я незнаю как реализовать и возможно-ли средствами Делфи, хитро как-нить запускать, что-бы не детектилось в памяти.

 

[pastorok]

Clam Antivirus палит функцию SplitMetal как "PUA.Win32.Packer.BorlandDelphi"

 

[Антоха]

Тут попались интересные по описанию сурсы криптора...может кому пригодятся идеи автора.В код я естественно даже и не полез,это мля не делфя с илитным компонентами;)
Далее просто скопирую описание:

Автор:0xDADA11C7

[FASM, C, Node JS, Ruby] Криптор ​

Выкладывю криптор, его код написан далеко не идеально - он содержит много багов и много новых и забавных идей. Для написания криптора я использовал pelles c компилер и fasm, а для генератора стабов был использован целый зоопарк языков

(ruby, node js, fasm)

Главными возможностями криптора являються:

• поддержка плагинов
• поддержка TLS
• небольшой стаб
• раздельное создание стабов и пакование
• использование линкера для создания исполняемых файлов
• нормализация статистики файла
• уникальная ВМ для каждого стаба

Криптор использует

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

и

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.
Для запуска криптора вы должны передать ему следущие параметры:

Скопировать в буфер обмена

ENCRYPT.CMD input_exe_file output_exe_file stub_directory optional_parameters

Например :

Скопировать в буфер обмена

ENCRYPT.CMD E:\SAMPLES\CALC.exe E:\CALC.E3.EXE E:\STUBS\E3 "PLUGINS?RESTORESEH|ICON?E:\SETUP.ICO"

Для запуска генератора стабов вы должны запусть createStub.cmd со следующими параметрами:

Скопировать в буфер обмена

CREATESTUB.CMD settings.json stub_directory

Пример settings.json файла:

Спойлер: Кодес

Скопировать в буфер обмена

{
    "pass": {
        "place": 2,
        "val": "AjIx@pHJ[*U3M&eVjk9"
    },
    "vm": {
        "place": 1,
        "dstacksize": 56,
        "rstacksize": 63,
        "order": ["rstack", "dstack", "vmbody", "ctx"],
        "vmbodysize": 1024
    },
    "datapeimage": {
        "place": 2,
        "resnum": 0
    },
    "alphabet": {
        "place": 3,
        "val": [9, 39, 74, 67, 69, 62, 84, 38, 78, 37, 82, 19, 5, 71, 63, 23, 30, 33, 66, 44, 72, 80, 26, 46, 15, 25, 52, 24, 70, 22, 29, 34, 36, 50, 47, 6, 42, 35, 51, 59, 68, 45, 83, 55, 60, 12, 21, 41, 8, 54, 43, 77, 40, 73, 18, 48, 65, 3, 32, 11, 49, 75, 61, 14, 58, 31, 20, 16, 4, 57, 17, 7, 1, 13, 27, 2, 53, 76, 10, 64, 56, 79, 0, 28, 81]
    },
    "pcode": {
        "place": 3
    },
    "loadpe": {
        "requmem": 4672,
        "depth": 120,
        "offset": 6194
    },
    "import": {
        "fncs": ["GetStdHandle", "VirtualAlloc", "WriteFile", "Beep", "GetDC", "BeginPaint", "CreateMutexA", "CreateMutexW", "VirtualFree", "GetLastError", "GetModuleHandleA", "GetModuleHandleW", "GetSystemInfo", "GetVersionExA", "LocalAlloc", "CharUpperA", "CreateDialogParamA", "CreateWindowExA", "DefWindowProcA", "DispatchMessageA", "EndDialog", "EndPaint", "FindWindowA", "FindWindowW", "GetClassInfoExA", "GetMessageA", "GetSystemMetrics", "GetTopWindow", "LoadIconA", "PostQuitMessage", "RegisterClassExA", "RegisterWindowMessageA", "SendMessageA", "SetDlgItemInt", "SetFocus", "ShowWindow", "TranslateMessage", "UpdateWindow", "GetDIBits", "CreateCompatibleBitmap", "GdiFlush"]
    },
    "icon": {
        "resnum": 127
    }
}

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Все файлы зашифрованы паролем replace
packer.srcnbin.zip содержит исходники криптора
samples.executable.zip содержит windows xp калькулятор, hello.exe (1.5k) небольшой исполняемый файл с дистрибутива fasm и эти же файлы, но криптованные разными стабами
stubs.example.zip содержит несколько сгенерированых стабов для криптования
stubGenerator.zip содержит генератор стабов
Источник:

Хотя это и так понятно из ссылок в обзоре.

 

[X-Shar]

Clam Antivirus палит функцию SplitMetal как "PUA.Win32.Packer.BorlandDelphi"

Уверены что дело именно в этой функции ?

Это-же банальное "Расчленение" строки на подстроки, такой стандартный в принципе приём, можете сами сделать или найти другие функции в сети есть, по сути из строки делаем массив строк и всё, даже намёка нет на какую-то подозрительную активность !

Может вообще сам Делфи палит ?

Тут проблема, что это банальный пакер-же, т.е. читает сам-себя и расшифровывает вирус, а-это само по себе уже палевно, хотя какие-то АВ проглатывают это-да...

 

[pastorok]

УХАХАХАХ!!! Я нашёл способ как сделать этот RunPE криптор FUDным! Скачал большой исходник легальной программы, добавил туда новую кнопку и в обработчике события добавил вызов функции из моего модуля, эта функция запускает процесс расшифровки и запускает в памяти Видимо антивирусы боятся трогать такую программу, только из-за пары подозрительных функций.

 

[Nedovirus]

да нет, просто эмуль не нажимает на кнопки.