Я тут создал новый достаточно серьёзный раздел в хак. категории и сейчас думаю наверное зря, т.к. крипторы которые в паблике быстро устаревают, буквально 2-3 дня и палятся уже всеми антивирусниками и становится уже к сожалению не так интересно, ну и это ещё не самое хреновое, хреново то-что искать новые крипторы здесь опять-таки навряд-ли кто-то будет и тем-более тестить их, может-быть пару человек только…
И как-бы тема не превратилась в унылый и никому не нужный копипаст…
В начале раздел хотел удалить, но потом решил, а почему-бы вместо крипторов не давать теоретический материал, а это различные статьи посвящённые этой проблеме, может-быть какие исходники крипторов, ну в общем инфа больше позновательного характера…
Возможно и это здесь мало кому интересно, но всяко лучше чем копипаст материала с ресурсов…
Итак давайте в начале разберёмся, а что-же такое крипторы, стабы и т.д. и вообще зачем они нужны…
Обо всём по порядку:
1) Что-же такое криптор и стаб и зачем нужно:
Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами. Крипторы можно разделить на 2 вида: хорошие и дерьмовые.
Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы. При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.
Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла. Но, как говорится, на каждую хитрую жопу найдется хуй с винтом — такие крипторы тоже со временем детектируются, и если автор не чистит свой продукт, то криптор перестает быть уникальным и посылается нахуй.
Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу ебанутости и многочисленности авторов таких творений, мы не будем отрываться от стаи.
Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается.
Т.е. надеюсь поняли отличия в первом случае шифруется код программы, и стаб расшифровывает уже команды программы, а во втором случае шифруется сам файл программы и расшифровывается тоже сам файл, ну и понятно, что второй тип криптора это не что иное как не нужное гавно, т.к. практически любой антивирусник спалит вирус при расшифровке ! ;)
Некоторые крипторы напрямую файл на диск не пишут, а запускают его из памяти, но это их не оправдывает, т.к. продвинутый антивирус словит это при запуске как нехуй делать.
В таких крипторах уникальность каждого закриптованного файла достигается разными стабами. Но такой подход весьма ограничен — в хороших криптах это всего-лишь код, и его можно сгенерировать, а со стабами в говно-крипторах уже сложнее, поэтому авторы чаще всего создают под каждого клиента отдельный стаб. Подход глуп до безобразия, ведь ежели спалится антивирусами один закриптованный файл — за ним полетят и все остальные.
С крипторами пока всё, идём дальше…
2)Что такое джойнеры и зачем нужно:
Джоинер (также биндер, joiner, binder) — программа для склеивания нескольких файлов (к примеру картинки в формате JPG и трояна в виде исполняемого файла EXE) в один контейнер. При запуске контейнер извлекает из себя файлы и запускает их.
Чаще всего джоинеры используются для маскировки запуска вредоносных программ. Простейший вариант использования описан выше — склеиваем фотографию с вирусом. В итоге жертва запускает контейнер, видит фотку, а тем временем запускается троян и делает свое дело.
Джоинеры бывают разные, крутые и не очень. Некоторые позволяют настраивать множество опций - куда контейнер будет извлекать файлы (иногда это важно), будет он запускать файлы скрыто или по-обычному (т.е. если программа имеет окна - при запуске они будут видны, в скрытом режиме запуска никаких окон видно не будет, даже если автором программы это было задумано) и т.д.
Также большинство джоинеров позволяет настраивать внешний вид контейнера — иконку, информацию о версии и т.п.
Все, абсолютно все джоинеры создают контейнеры в виде исполняемых файлов EXE. Т.е. вариант склеить изображение с трояном и получить файл jpg — невозможно. Данный вопрос периодически поднимается на форумах, но увы — решения нет. Также некоторые джоинеры позволяют создавать контейнеры с расширением scr, pif и com — но контейнер все-равно остается EXE'шником.
В некоторых джоинерах есть опция мелтинга, о ней стоит рассказать подробнее. Во многих случаях она очень полезна. Суть вот в чем: при создании контейнера мы выбираем один из склеиваемых файлов. При запуске контейнера файлы извлекаются и запускаются, как и положено. И если мелтинг был включен и один из склеиваемых файлов был выбран — при запуске контейнер заменит себя выбранным файлом.
Да, немного запутанно, на примере будет проще: склеиваем песенку с трояном, выбираем в настройках мелтинга файл песни, и для пущего эффекта прикрепим к контейнеру иконку аудио-файла. При запуске контейнер извлечет оба файла, запустит их и заменит себя песенкой.
Источник: По материалам фака от Вазонеза (vazonez.com)
И как-бы тема не превратилась в унылый и никому не нужный копипаст…
В начале раздел хотел удалить, но потом решил, а почему-бы вместо крипторов не давать теоретический материал, а это различные статьи посвящённые этой проблеме, может-быть какие исходники крипторов, ну в общем инфа больше позновательного характера…
Возможно и это здесь мало кому интересно, но всяко лучше чем копипаст материала с ресурсов…
Итак давайте в начале разберёмся, а что-же такое крипторы, стабы и т.д. и вообще зачем они нужны…
Обо всём по порядку:
1) Что-же такое криптор и стаб и зачем нужно:
Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами. Крипторы можно разделить на 2 вида: хорошие и дерьмовые.
Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы. При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.
Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла. Но, как говорится, на каждую хитрую жопу найдется хуй с винтом — такие крипторы тоже со временем детектируются, и если автор не чистит свой продукт, то криптор перестает быть уникальным и посылается нахуй.
Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу ебанутости и многочисленности авторов таких творений, мы не будем отрываться от стаи.
Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается.
Т.е. надеюсь поняли отличия в первом случае шифруется код программы, и стаб расшифровывает уже команды программы, а во втором случае шифруется сам файл программы и расшифровывается тоже сам файл, ну и понятно, что второй тип криптора это не что иное как не нужное гавно, т.к. практически любой антивирусник спалит вирус при расшифровке ! ;)
Некоторые крипторы напрямую файл на диск не пишут, а запускают его из памяти, но это их не оправдывает, т.к. продвинутый антивирус словит это при запуске как нехуй делать.
В таких крипторах уникальность каждого закриптованного файла достигается разными стабами. Но такой подход весьма ограничен — в хороших криптах это всего-лишь код, и его можно сгенерировать, а со стабами в говно-крипторах уже сложнее, поэтому авторы чаще всего создают под каждого клиента отдельный стаб. Подход глуп до безобразия, ведь ежели спалится антивирусами один закриптованный файл — за ним полетят и все остальные.
С крипторами пока всё, идём дальше…
2)Что такое джойнеры и зачем нужно:
Джоинер (также биндер, joiner, binder) — программа для склеивания нескольких файлов (к примеру картинки в формате JPG и трояна в виде исполняемого файла EXE) в один контейнер. При запуске контейнер извлекает из себя файлы и запускает их.
Чаще всего джоинеры используются для маскировки запуска вредоносных программ. Простейший вариант использования описан выше — склеиваем фотографию с вирусом. В итоге жертва запускает контейнер, видит фотку, а тем временем запускается троян и делает свое дело.
Джоинеры бывают разные, крутые и не очень. Некоторые позволяют настраивать множество опций - куда контейнер будет извлекать файлы (иногда это важно), будет он запускать файлы скрыто или по-обычному (т.е. если программа имеет окна - при запуске они будут видны, в скрытом режиме запуска никаких окон видно не будет, даже если автором программы это было задумано) и т.д.
Также большинство джоинеров позволяет настраивать внешний вид контейнера — иконку, информацию о версии и т.п.
Все, абсолютно все джоинеры создают контейнеры в виде исполняемых файлов EXE. Т.е. вариант склеить изображение с трояном и получить файл jpg — невозможно. Данный вопрос периодически поднимается на форумах, но увы — решения нет. Также некоторые джоинеры позволяют создавать контейнеры с расширением scr, pif и com — но контейнер все-равно остается EXE'шником.
В некоторых джоинерах есть опция мелтинга, о ней стоит рассказать подробнее. Во многих случаях она очень полезна. Суть вот в чем: при создании контейнера мы выбираем один из склеиваемых файлов. При запуске контейнера файлы извлекаются и запускаются, как и положено. И если мелтинг был включен и один из склеиваемых файлов был выбран — при запуске контейнер заменит себя выбранным файлом.
Да, немного запутанно, на примере будет проще: склеиваем песенку с трояном, выбираем в настройках мелтинга файл песни, и для пущего эффекта прикрепим к контейнеру иконку аудио-файла. При запуске контейнер извлечет оба файла, запустит их и заменит себя песенкой.
Источник: По материалам фака от Вазонеза (vazonez.com)