Фреймворк криптора/протектора с антиэмуляцией

[X-Shar]

А где весь проект можно скачать?

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

@X-Shar можешь еще посмотреть проект Polychaos, как пример пермутации

Да в будушем можно морфинг самого pe сделать перед запуском, также хочу переделать модуль запуска pe в памяти, не создавать процесс, а запускать из текущего процесса программы, так правильней.)

Еще крипт dll можно добавить.

Но это все незнаю когда будет, нужно время, для x64 побыстрее сделаю.

 

[virt]

Уже есть идеи как защитить файл от периодического сканирования ав процессов?

Во-что придумал, вернее есть уже техника, это внедрение в системный процесс, вкратце, запускаете доверенный процесс, например калькулятор, делаете его suspend, наполняете кишками своего зверька, в итоге вот-что получилось:

Обратите внимание на:

1)Запущен явно не калькулятор, а PyTTY (я его для тестов использую).
2)Репутация файла зеленая.
3)Запуск из-по нода.

Может завтро переделаю RunPe.

Идея вот этого чувака, отлично зашла в этот криптор:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Gerion]

Во-что придумал, вернее есть уже техника, это внедрение в системный процесс, вкратце, запускаете доверенный процесс, например калькулятор, делаете его suspend, наполняете кишками своего зверька, в итоге вот-что получилось:

Посмотреть вложение 59360

Обратите внимание на:

1)Запущен явно не калькулятор, а PyTTY (я его для тестов использую).
2)Репутация файла зеленая.
3)Запуск из-по нода.

Может завтро переделаю RunPe.

Идея вот этого чувака, отлично зашла в этот криптор:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Идея отлично подходит, главное на ВТ не заливать, а то будет детект по инжекту в процесс =)

 

[X-Shar]

ОБНОВЛЕНИЕ:

Переделан запуск файла в памяти:

Запуск в памяти реализован двумя способами (Настраивается):

1. Создается системный процесс (По умолчанию Calc.exe), с флагом suspend, далее в "тело процесса" помещается наш зверек и делается resume.
2. Просто создается наш процесс (не системный), с флагом suspend, далее в "тело процесса" помещается наш зверек и делается resume.

В первом случае нужно дербанить UAC, но будет скрытие нашего зверька, во втором случае UAC дергаться не будет, но и процесс будет выглядить более подозрительно.).

По умолчанию делается первый способ, в файл добавлен манифест.

Вообще нормальный получается криптор, если его причесать, то можно даже продавать.)))

Хочу ещё сделать для x64 и криптование длл.

Также возможно будет небольшей морфинг самого PE перед запуском. Это может сбить детект в памяти у некоторыйх АВ.

 

[HopefuLXakir]

XShar/Run_pe_cryptor_frame

Спасибо!

ОБНОВЛЕНИЕ:

Переделан запуск файла в памяти:

Запуск в памяти реализован двумя способами (Настраивается):

1. Создается системный процесс (По умолчанию Calc.exe), с флагом suspend, далее в "тело процесса" помещается наш зверек и делается resume.
2. Просто создается наш процесс (не системный), с флагом suspend, далее в "тело процесса" помещается наш зверек и делается resume.

В первом случае нужно дербанить UAC, но будет скрытие нашего зверька, во втором случае UAC дергаться не будет, но и процесс будет выглядить более подозрительно.).

По умолчанию делается первый способ, в файл добавлен манифест.

Вообще нормальный получается криптор, если его причесать, то можно даже продавать.)))

Хочу ещё сделать для x64 и криптование длл.

Также возможно будет небольшей морфинг самого PE перед запуском. Это может сбить детект в памяти у некоторыйх АВ.

Немешало ссылку скана на том сервисе что я дал преложить.

 

[HopefuLXakir]

маловато сканеров

Самые популярные антивирусы. Достаточно.

 

[virt]

Немешало ссылку скана на том сервисе что я дал преложить.

Там пример есть.

Вот ради интереса:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Но это всё скантайм.)))

Вообще, планирую ещё сделать для x64, да и всё.

Появилась интересная идея кейлогера/стиллера, может её попробую сделать.)

 

[timboleik]

Там пример есть.

Вот ради интереса:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Но это всё скантайм.)))

Вообще, планирую ещё сделать для x64, да и всё.

Появилась интересная идея кейлогера/стиллера, может её попробую сделать.)

как успехи в разработке версии для x64 ?

 

[virt]

как успехи в разработке версии для x64 ?

Там чуть сложнее.

XTEA и MURMURHASH пришлось переписать на си, т.к. ассемблерный вариант незашел, т.е. побыстрому неполучилось адаптировать, времени нетак много и знания асма оставляет желать лучшего, хотя надо конечно-же разобраться в будущем...)

Есть функция запуска x64, но работает нестабильно на Putty, может другой файл попробовать, незнаю...

Короче какие-то наработки есть, но нестабильные, для x86 стабильно работает на 7-10 проверял нормально.)))

 

[X-Shar]

как успехи в разработке версии для x64 ?

Сейчас посидел часок, получилось сделать инжект в x64 процесс.)

Короче будет тоже, что и для x32, за исключением что функции шифрования не на ассемблере написаны, а на си.

Вообще конечно это так поигратся, libpeconv, хорошая либа от hasherezade.)))

А так врядли кому пригодится, но может и ошибаюсь.)