Фреймворк криптора/протектора с антиэмуляцией

virt · 15.06.2019

Ваш пример криптованный уже, но без мутации...

Jefferson · 15.06.2019

virt сказал(а):
Mutate((BYTE*)(protect_data + 8), size_file, true);

Да, спасибо, отработал на ура!

virt сказал(а):
Можно обкатать файл перед криптом, в этом проекте:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Уже пользуюсь, но часто файл ломает после нескольких проходов

Jefferson · 15.06.2019

Актуальный скан (Predator):

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Ген-детекты.

Как насчёт добавления в криптор генератора рандомных ресурсов? По типу VersionInfo и тд.
На скантайме помогает сбить детекты выше))

X-Shar · 15.06.2019

Кстати раньше его меньше детектили.

Да можно добавить, вообще его-бы доработать, добавить гуй с опциями и т.д.

А-то в вижуалке каждый раз некруто собирать...)))

Jefferson · 16.06.2019

В общем добился такого результата:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Насколько мне известно, F-Secure юзает движок авиры, поэтому убрав авиру, уйдёт и фсекьюр.

X-Shar · 16.06.2019

А это результат, на основе этого криптора ?

Вообще авира реагировала на структуру pe, раньше, можно делать как вы сказали рандомные ресурсы, плюс например разбить криптованный файл и разместить кусочками в ресурсах.

Таким образом сложно статическим анализом определить, что файл пакованный.

Jefferson · 16.06.2019

X-Shar сказал(а):
А это результат, на основе этого криптора ?

Да, инжект в себя, накинул рандомных ресурсов

Сейчас криптанул предатор:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Как бороться в авг и авастом? Или тут больше от самого криптуемого файла зависит?

X-Shar · 16.06.2019

Может от размера дата секции, т.е. чем больше размер ресурса, или дата-секции, тем больше вероятности, что файл пакованный.

Вот на двух скринах, в первом размер файла в пять раз меньше, чем во втором и детекта аваста на первом скрине нет.

Хотя может дело и не в этом.

Я поэтому и сказал, что хранить шифрованного зверька кусочками в ресурсах или дата секции, а потом его собирать, как вариант.

Gerion · 19.06.2019

X-Shar сказал(а):
Может от размера дата секции, т.е. чем больше размер ресурса, или дата-секции, тем больше вероятности, что файл пакованный.

Вот на двух скринах, в первом размер файла в пять раз меньше, чем во втором и детекта аваста на первом скрине нет.

Хотя может дело и не в этом.

Я поэтому и сказал, что хранить шифрованного зверька кусочками в ресурсах или дата секции, а потом его собирать, как вариант.

Скорее всего в этом, они же анализируют автоматически файл по каким то критериям. Если разбирать вредонос самому руками, то первое что ты смотришь, это вызываемые функции и возможность упаковки.

Gerion · 20.06.2019

Такое чувство,что кто-то целенаправленно льет сорцы на вирустотал, детект Eset от 18 числа.
Win32/Kryptik.GUCB

Автор темы	Похожие темы	Форум	Ответы	Дата
	Малварь как искусство Различные фреймворки для обхода EDR систем	Технологии создания невидимой малвари	6	19.01.2024
	Малварь как искусство Фреймворк для тестирования антивирусов	Технологии создания невидимой малвари	12	03.12.2023
	Малварь как искусство Фреймворк криптора/протектора на шелл-кодах x86/x64	Технологии создания невидимой малвари	34	03.05.2020
J	Малварь как искусство Исходник криптора C/C++	Технологии создания невидимой малвари	5	15.06.2019

Обратная связь: [email protected]

Наш канал в telegram: https://t.me/ru_sfera

Группа VK: https://vk.com/rusfera

Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Фреймворк криптора/протектора с антиэмуляцией

virt

Уважаемый пользователь

Вложения

Jefferson

Уважаемый пользователь

Jefferson

Уважаемый пользователь

X-Shar

:)

Jefferson

Уважаемый пользователь

X-Shar

:)

Jefferson

Уважаемый пользователь

X-Shar

:)

Gerion

Пользователь

Gerion

Пользователь