Малварь как искусство Полиморфный генератор мусора

[HopefuLXakir]

Я переделаю, там по мимо этого бага, есть ещё то-что инструкции не исполняются, а только генерируются и из-за этого смысла в этом движке нет. :(

Правда незнаю когда.

Вы ошибаетесь смысл как раз есть. Допустим у меня данный движек даже без ассамблерных инструкций убрал ген детекты в проекте и за счет смещения кода убрал даже детект eset. Так что пожалуйста переделывайте по быстрее так как движек реально полезный! Вы вообще хорошее дело делайте все модули в вашем крипторе реально полезные. Спасибо вам! Кстати как вам идея сделать реализацию вашего криптера с LoadPE вместо RunPE? Могу исходы подкинуть если надо)

 

[virt]

Кстати как вам идея сделать реализацию вашего криптера с LoadPE вместо RunPE? Могу исходы подкинуть если надо)

А что это даст ?

Просто LoadPE какой-то нестабильный был, там-бы и криптор переделать, можно разные методы запуска например сделать...

Крипт длл, ещё можно сделать, но лучше отдельным проектом.

 

[HopefuLXakir]

А что это даст ?

Просто LoadPE какой-то нестабильный был, там-бы и криптор переделать, можно разные методы запуска например сделать...

Крипт длл, ещё можно сделать, но лучше отдельным проектом.

Рантайм снизит. Просто вы в своем runpe юзаете функции на которые некоторые аве ставят хуки. Либо надо runpe переделать либо заменить на loadpe.

там-бы и криптор переделать, можно разные методы запуска например сделать...

А как вам идея добавить anti-hook для разных аве? Темболие методы реализации уже есть

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

А что это даст ?

Просто LoadPE какой-то нестабильный был, там-бы и криптор переделать, можно разные методы запуска например сделать...

Крипт длл, ещё можно сделать, но лучше отдельным проектом.

Можно еще попробывать реализовать инжект методом Atom Bombing.

 

[Jefferson]

Можно еще попробывать реализовать инжект методом Atom Bombing.

Странная штука этот atom ing. Через раз отрабатывает.
Лучше LoadPE юзать.

 

[virt]

Гляну атом-бомбинг.

@Jefferson, а ты как запускаешь ?

Как в примере, там шелл какой-то странный:

Скопировать в буфер обмена

g_FunctionPointers.pfnGetProcAddress = GetProcAddress;
g_FunctionPointers.pfnLoadLibraryA = LoadLibraryA;
fix_esp();
shellcode_entry();
dummy();

Сам код не запускал, но смущают:

Скопировать в буфер обмена

fix_esp();
shellcode_entry();

Зачем всё это ?

Он в маин хоть заходит в примере ?)

 

[virt]

Криптор если переделывать и если делать более-менее нормально, вот с этим хочу разобраться, вместо этого движка:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Как понимаю, можно воспользоваться движками.)

 

[Jefferson]

@Jefferson, а ты как запускаешь ?

LoadPE, выдрал из исходника криптора, что выкладывал тут.
Рантайм около 3, устраивает вполне.

 

[Jefferson]

Криптор если переделывать и если делать более-менее нормально, вот с этим хочу разобраться, вместо этого движка:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Как понимаю, можно воспользоваться движками.)

Как мне кажется, все эти движки - прошлый век))
Проще и эффективней использовать замусоривание кода на уровне исходников (с помощью пре-процессора, к примеру)

 

[virt]

Как мне кажется, все эти движки - прошлый век))

Ну если хороший движок, почему-бы его и не использовать, чем писать свой, ну либо совмещать...)

Там-же он специально написан на ассемблере, т.к. может по разному генерировать код:

[+] генерация x86 инструкций/конструкций (множество вариантов);
[+] генерация fpu/mmx/sse инструкций;
[+] генерация данных (строк, чисел);
[+] генерация команд по маске;
[+] генерация "правильного" кода:

x правильный;
x реалистичный;
x антиэвристический;
x антиэнтропийный;
x статистика частот встречаемости опкодов;
x логика построения трэш-кода (новая фича!);

[+] генерация функций (те, что с прологами, эпилогами etc);
[+] генерация винапи фунок;
[+] запись "полезного" кода вместе с трэш-кодом;

Как такое сделать макросами, макросы всегда-же были...)))

Ну или там ещё полиморфные декрипторы есть, прикольные:

МУЛЬКИ:

[+] генерация полиморфного декриптора и шифрование нужного кода;
[+] реалистичный (стартовый) декриптор;
[+] генерация рэндомных регистров;
[+] генерация рэндомных ключей для шифровки/расшифровки;
[+] различный размер декриптора (задаётся);
[+] команды декриптора имеют "синонимы";
[+] меняется порядок расположения между некоторыми командами;
[+] меняется порядок вызова между некоторыми командами;
[+] использование ГСЧ и Трэшгена (охуительная тема + logical trash tech);
[+] несколько алгоритмов шифрования/расшифрования (add/sub/xor);
[+] использование плавающего (ака скользящего) ключа;
[+] мультидекрипторность;
[+] базонезависимость
[+] самостоятельный самодостаточный движок; нет привязки к другим моторам (но есть жёсткие условия);
[+] без дельта и данных - только чистый код; отлично подходит для мутации;
[+] не юзает winapi;

Я не практик, но мне кажется сами крипторы устарели, а конкретно расшифровка в памяти и запуск процесса, т.к. антивирусы это монеторят, т.е. перед стартом процесса, он проверяется антивирусом.

Эти-же движки актуальны, для скрытия кода, почему-бы и нет, минус только что для x64 переписывать нужно, ну и ассемблер, надо тестить, как будет работать, пока руки не дошли...)))

 

[0b170xor]

Ну если хороший движок, почему-бы его и не использовать, чем писать свой, ну либо совмещать...)

Там-же он специально написан на ассемблере, т.к. может по разному генерировать код:

[+] генерация x86 инструкций/конструкций (множество вариантов);
[+] генерация fpu/mmx/sse инструкций;
[+] генерация данных (строк, чисел);
[+] генерация команд по маске;
[+] генерация "правильного" кода:

x правильный;
x реалистичный;
x антиэвристический;
x антиэнтропийный;
x статистика частот встречаемости опкодов;
x логика построения трэш-кода (новая фича!);

[+] генерация функций (те, что с прологами, эпилогами etc);
[+] генерация винапи фунок;
[+] запись "полезного" кода вместе с трэш-кодом;

Как такое сделать макросами, макросы всегда-же были...)))

Ну или там ещё полиморфные декрипторы есть, прикольные:

МУЛЬКИ:

[+] генерация полиморфного декриптора и шифрование нужного кода;
[+] реалистичный (стартовый) декриптор;
[+] генерация рэндомных регистров;
[+] генерация рэндомных ключей для шифровки/расшифровки;
[+] различный размер декриптора (задаётся);
[+] команды декриптора имеют "синонимы";
[+] меняется порядок расположения между некоторыми командами;
[+] меняется порядок вызова между некоторыми командами;
[+] использование ГСЧ и Трэшгена (охуительная тема + logical trash tech);
[+] несколько алгоритмов шифрования/расшифрования (add/sub/xor);
[+] использование плавающего (ака скользящего) ключа;
[+] мультидекрипторность;
[+] базонезависимость
[+] самостоятельный самодостаточный движок; нет привязки к другим моторам (но есть жёсткие условия);
[+] без дельта и данных - только чистый код; отлично подходит для мутации;
[+] не юзает winapi;

Я не практик, но мне кажется сами крипторы устарели, а конкретно расшифровка в памяти и запуск процесса, т.к. антивирусы это монеторят, т.е. перед стартом процесса, он проверяется антивирусом.

Эти-же движки актуальны, для скрытия кода, почему-бы и нет, минус только что для x64 переписывать нужно, ну и ассемблер, надо тестить, как будет работать, пока руки не дошли...)))

Так получается для таких проектов лучше всего использовать асм? Просто я привык к плюсам, но хочу попробовать все таки проекты криптовок писать на си чистом. А тут я как понял лучше уже на асме писать такое. Но блин полностью на асме нихрена не читабельно, особенно если к проекту возращаешься через месяц, все забудешь нахрен. Или в исходниках будет переизбыток NOTE: , HACK: а если еще ньюби в асме то и FIXME: с BUG: