Исходник простого криптора/протектора с антиэмуляцией на С++

Программа Исходник простого криптора/протектора с антиэмуляцией на С++ finall

Нет прав для скачивания

timboleik

Пользователь
Форумчанин
Регистрация
13.04.2019
Сообщения
5
Если не буду ленится в эти выходные, то может через 1-2 недели...)

Я заготовки уже сделал. Осталось можно сказать рутина. :(

Примерно вот-что вырисовывается:

1)В отличие от многих крипторов, там не будет стаба, если вкратце, то сам криптованный зверек будет частью программы и располагаться в дата-секции.

2)Скрыты API, т.е. не будут видны в коде апишки, например в PE-Bear не увидишь, также все строки пошифрованы будут.)

3)Все это будет выкладываться как каркас и исходник, поэтому опять-таки это исключит попадания такого проекта в сигнатуры, т.к. сам зверек будет каждый раз разный, а какого-то модуля, как например стаб, там не будет, сложновато-будет наложить сигнатуру.

4)Тем не менее сам проект будет иметь модульную структуру, эти модули можно либо дорабатывать потом, ну либо дернуть для своих проектов. (Тсс., но я сам какие-то вещи дернул из паблика, ну а смысл изобретать велосипед).sm3888Dmeh-Smeh-Smeh!!!

5)В качестве антиэмуляции, это генерация ключа в программе, задержки и генерация случайных инструкций + вызовы апи.
Ничего особо нового, но можно будет всегда добавить кому нужно.

6)Алгоритмы криптовки/раскриптовки написаны на ассемблере, основной код на С/С++.

7)В целом будет удобно пользоваться, но можно легко будет и дорабатывать, кто знает С/С++. Единственное, что нужно будет установить Visual Studio, что-бы можно-было собрать проект.

8)Пока планирую для x86, но потом относительно быстро можно-будет доработать и до x64.

В общем, как говорится подписывайтесь на канал и ставьте лайки.Dmeh-Smeh-Smeh!!!
было бы очень интересно увидеть твой проект,сколько сам заморачивался с паблик исходами крипторов,так и не удалось сделать что то путное,1 пункт кстати очень хорошая идея!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
Я так понимаю будет массив байт?
Да массив пошифрованный, примерно так будет сделано, написал специальную программу, которая из исполняемого файла будет генерировать заголовок с пошифрованными данными, например:

static uint32_t data_protect [] = {
0x4d, 0x5a, 0x90, ***
}

Также нужные строки, тоже шифрованные, например:

static char string1 [] = {
***
}

Далее, уже в проекте это все собирается в программу. Сама программа генерирует ключ для расшифровки, расшифровывает и запускает.

Но т.к. сама программа будет разбита на модули: Модуль криптования, модуль запуска и т.д., плюс в настройках сборки ещё необходимые стандартные длл-ки вогнал.

Т.е. сама функция main у программы будет там строк 5 на си.)

То непонятно как наложить сигнатуру и на что ?

Думаю автоматикой это сложно сделать, а многие крипторы как-раз автоматикой детектят.

К тому-же можно каждый раз пересобирать модули, что-то немножко менять и уже совсем другая программа, после каждой сборки, это если вирусный аналитик, что-то хитрое наложет (Хотя вряд-ли, это должна-быть сильная эпидемия, таки этот проект не для этого).)))

Если не секрет, какой алгоритм? А то я только дальше ксора не уходил))
Там несколько алгоритмов будет.

Сам алгоритм простой, вот от сюда взял:

Но это ещё не всё, ещё будет использоваться это для генерации ключа.

Я от туда код стянул, очень хорошо зашло, смысл писать, если уже сделано.)

Плюс вот эта штука очень хорошо зашла

Как-то так вкратце.
 

skales007

Пользователь
Форумчанин
Регистрация
26.03.2019
Сообщения
9
А как планируется бороться с высокой энтропией в дата секции? У меня с небольшими файлами все в порядке, а вот если файл 300+ кб, то DiE с 95%ной уверенностью говорит что файл упакован. Я уж молчу про детекты, их у меня меньше 5-7 вообще не получается сделать. И это все скантайм. Хотя я с эмуляцией особо и не разбирался пока.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
А как планируется бороться с высокой энтропией в дата секции? У меня с небольшими файлами все в порядке, а вот если файл 300+ кб, то DiE с 95%ной уверенностью говорит что файл упакован. Я уж молчу про детекты, их у меня меньше 5-7 вообще не получается сделать. И это все скантайм. Хотя я с эмуляцией особо и не разбирался пока.

Ну упакован и что ?
Никто не запрещает хранить данные в ресурсах, или в секции данных, это нормальная ситуация.
Подозрительно когда данные находятся в оффсете, на это много антивирусов реагирует.

Вот что получилось (комета):

Изначально детект такой:

Может содня, или на следующей недели выложу, оформит надо.

Пока-что для x86, надо ещё для x64 сделать.

Так-то ещё не надо забывать, что антивирусы проверяют процессы переодически и если есть детект, он будет после проверки процесса.

Поэтому нужно криптовать не сам PE-файл целиком, а шеллы, либо конкретные функции и запускать их в программе, тогда способ актуальный, а это всё просто понты.)))

Хотя из-под стандартного дефендера запускается, также АВ на несколько секунд может и пропустить, может этого и хватит в целом.

Также полезно, если нужен протектор без детекта, а-то коммерческие детектят постоянно. :(
 
Верх Низ