было бы очень интересно увидеть твой проект,сколько сам заморачивался с паблик исходами крипторов,так и не удалось сделать что то путное,1 пункт кстати очень хорошая идея!Если не буду ленится в эти выходные, то может через 1-2 недели...)
Я заготовки уже сделал. Осталось можно сказать рутина. :(
Примерно вот-что вырисовывается:
1)В отличие от многих крипторов, там не будет стаба, если вкратце, то сам криптованный зверек будет частью программы и располагаться в дата-секции.
2)Скрыты API, т.е. не будут видны в коде апишки, например в PE-Bear не увидишь, также все строки пошифрованы будут.)
3)Все это будет выкладываться как каркас и исходник, поэтому опять-таки это исключит попадания такого проекта в сигнатуры, т.к. сам зверек будет каждый раз разный, а какого-то модуля, как например стаб, там не будет, сложновато-будет наложить сигнатуру.
4)Тем не менее сам проект будет иметь модульную структуру, эти модули можно либо дорабатывать потом, ну либо дернуть для своих проектов. (Тсс., но я сам какие-то вещи дернул из паблика, ну а смысл изобретать велосипед).
5)В качестве антиэмуляции, это генерация ключа в программе, задержки и генерация случайных инструкций + вызовы апи.
Ничего особо нового, но можно будет всегда добавить кому нужно.
6)Алгоритмы криптовки/раскриптовки написаны на ассемблере, основной код на С/С++.
7)В целом будет удобно пользоваться, но можно легко будет и дорабатывать, кто знает С/С++. Единственное, что нужно будет установить Visual Studio, что-бы можно-было собрать проект.
8)Пока планирую для x86, но потом относительно быстро можно-будет доработать и до x64.
В общем, как говорится подписывайтесь на канал и ставьте лайки.
Программа Исходник простого криптора/протектора с антиэмуляцией на С++ finall
- Автор темы X-Shar
- Дата начала
- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Да массив пошифрованный, примерно так будет сделано, написал специальную программу, которая из исполняемого файла будет генерировать заголовок с пошифрованными данными, например:
static uint32_t data_protect [] = {
0x4d, 0x5a, 0x90, ***
}
Также нужные строки, тоже шифрованные, например:
static char string1 [] = {
***
}
Далее, уже в проекте это все собирается в программу. Сама программа генерирует ключ для расшифровки, расшифровывает и запускает.
Но т.к. сама программа будет разбита на модули: Модуль криптования, модуль запуска и т.д., плюс в настройках сборки ещё необходимые стандартные длл-ки вогнал.
Т.е. сама функция main у программы будет там строк 5 на си.)
То непонятно как наложить сигнатуру и на что ?
Думаю автоматикой это сложно сделать, а многие крипторы как-раз автоматикой детектят.
К тому-же можно каждый раз пересобирать модули, что-то немножко менять и уже совсем другая программа, после каждой сборки, это если вирусный аналитик, что-то хитрое наложет (Хотя вряд-ли, это должна-быть сильная эпидемия, таки этот проект не для этого).)))
Там несколько алгоритмов будет.
Сам алгоритм простой, вот от сюда взял:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Но это ещё не всё, ещё будет использоваться это
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
для генерации ключа.Я от туда код стянул, очень хорошо зашло, смысл писать, если уже сделано.)
Плюс вот эта штука очень хорошо зашла
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Как-то так вкратце.
А как планируется бороться с высокой энтропией в дата секции? У меня с небольшими файлами все в порядке, а вот если файл 300+ кб, то DiE с 95%ной уверенностью говорит что файл упакован. Я уж молчу про детекты, их у меня меньше 5-7 вообще не получается сделать. И это все скантайм. Хотя я с эмуляцией особо и не разбирался пока.
- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Ну упакован и что ?
Никто не запрещает хранить данные в ресурсах, или в секции данных, это нормальная ситуация.
Подозрительно когда данные находятся в оффсете, на это много антивирусов реагирует.
Вот что получилось (комета):
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Изначально детект такой:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Может содня, или на следующей недели выложу, оформит надо.
Пока-что для x86, надо ещё для x64 сделать.
Так-то ещё не надо забывать, что антивирусы проверяют процессы переодически и если есть детект, он будет после проверки процесса.
Поэтому нужно криптовать не сам PE-файл целиком, а шеллы, либо конкретные функции и запускать их в программе, тогда способ актуальный, а это всё просто понты.)))
Хотя из-под стандартного дефендера запускается, также АВ на несколько секунд может и пропустить, может этого и хватит в целом.
Также полезно, если нужен протектор без детекта, а-то коммерческие детектят постоянно. :(
- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Первый вариант, могут-быть ошибки, а-так вроде работает:Фреймворк криптора/протектора с антиэмуляцией
| Автор темы | Похожие темы | Форум | Ответы | Дата |
|---|---|---|---|---|
|
Исходник аудио плеера PredatorMp3 | Авторские и интересные программы | 3 | |
|
|
Исходник GVDG 5.0 на Delphi ! | Авторские и интересные программы | 13 |