Исходник простенького полиморфного криптора на си (1 Viewer)

[Jefferson]

То есть не существует возможности получить нулевой рантайм-детект?

Криптованием - нет. На нативе в общем-то в общем сложновато фуд рантайм сделать. Рекомендую посмотреть в сторону powershell

 

[X-Shar]

Еще раз повторю, имхо криптование сейчас нужно только в двух случаях:

1. Сбить статик детект.
2. Уменьщить время наложения детекта, это достигается усложнением исследования зверька, либо невозможности распаковки автоматикой.)

А так хорошо, если есть сорцы, можно чистить сорцы и менять их всяко.)

 

[Jefferson]

Сорцы чистить можно. Не лучше ли написать криптор loapPe и при каждой дешифровке данных в памяти дизасемить после морфить и запустить в памяти? Т.е. каждая сигнатура кода будет уникальной. Если иметь фанатазию и прямые руки, то можно сделать так, чтоб детект на долго не было

И да, рад приветствовать всех)

Ну да, тогда не забываем сразу написать морфер для морфера и для него ещё один морфер...

 

[X-Shar]

Начал читать справочник по масму, могу сказать, что в асме можно реально круто морфить код на уровне сорцов

К сожалению вынужден вас разочеровать, антивирусы сейчас уже не такие тупые и они эмулируют код, а не детектят по сигнатурам, да морфить код можно, но это мало эффнктивно сейчас, вот можете глянуть, я даже это делал в крипторе, вот сам морфер:XShar/simple_mutate_pe_x86

А вот криптор, он там используется:XShar/Run_pe_cryptor_frame

Есть еще проект полихаус, который морфит код, мусор добовляет и еще много чего.

Но еще раз повторюсь, это все уже мало актуально.

В целом конечно это круто, но не все так круто, в плане детектов.)))

 

[Jefferson]

т.е. чтобы со временем снижать рантайм (если он высокий стал) прост нужно код морфить?

"прост нужно код морфить" - как же это просто звучит, без понимания сути. Допустим, условный дефендер через какое-то время стал детектить, что твоя тулза создаёт файлик в папке %temp%, пишет туда "malware" и творит всякие непотребства. Что ты будешь морфить в своём исходнике, чтобы убрать детект? Сколько постов твоих не читал, везде считаешь, что морфинг кода - лекарство от всех болезней.

 

[0b170xor]

Ок, го в рантайем генерировать рандом имя файла и выбирать рандом папку. Так можно детект убрать
морфинг - не лекарство от чумы.

Если было бы так просто Тебе сигнатуру сделают и на рандомные действия, для подобных похожих питомцев.

 

[Jefferson]

ок, а что ты тогда предлагаешь?
А обойти можно создавая в другой директории, под другим именем. Ок, го в рантайем генерировать рандом имя файла и выбирать рандом папку. Так можно детект убрать
морфинг - не лекарство от чумы. Но облегчит процесс чистки. А еще для чего нужен морфер, м?

Хорошо, спрошу по другому. Какие детекты в рантайме ты хочешь убрать просто обфусицировав код?

 

[0b170xor]

А я говорю о рантайме (проактивка), когда авер палит, когда ты делаешь то, или иное действие.

У меня вопрос как ты снимешь детект при обращении явно к реестру к ключам-паролям-печенькам программ для стилака.
Морфинг-неморфинг неважно, это явное зловредное действие у ПО и это никак не скрыть. Ты можешь захэшировать но это детектируется тоже. От рантайма не всегда скроешься...