Воскресенье, 22.12.2024, 17:59 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 2
  • 1
  • 2
  • »
Модератор форума: Marra_Kesh, xXxSh@dowxXx  
Крипторы
BoneFeaRДата: Понедельник, 25.06.2012, 20:15 | Сообщение # 1
Был не раз
Зарегистрирован: 25.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Приветствую всех форумчан данного портала.
В общем уже несколько дней гуглю в поисках криптора работающего на DarkCometRaT. Все криптора, которые я находил либо детектились, либо ломали вирусы. Раньше юзал upx Mutanter. Хоть этого криптора и видил касперский но, нод не детектил и криптор редко ломал DarkCometRat'а сервер. Но, после нескольких обнов и нод стал детектить данный криптор. Видимо и его кто-то слил на вирус тотал. Может кто-нибудь кинуть криптор под DarkCometRat. Поискал у вас тут темы насчет крипторов и нашел. Но, все ссылки там умерли. Наверняка, что бы обезопасить крипторы.
Надеюсь на понимание.
Всем добра smile
 
vvova15Дата: Понедельник, 25.06.2012, 20:37 | Сообщение # 2
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
рабочим и актуальным криптором врятли кто поделиться.
а чтоб написать сейчас криптор, недостаточнно просто зашифровать секцию и записать расшифровщик. необходимо еще полиморфить код, разбирая его дизасемблером(я обычно юзаю hde32) и меняя на другие инструкции. правда могут короткие прыжки сбиться, поэтому заменяют на более кортокие интсрукции и заполняют нопами оставшееся пространство. а насчет проактивки то можно обломать ее зачет того что многие эмуляторы не умеют эмулить sse3. за исключением microsoft essentialis security.
но такой криптор будет стоить не менее 100 бачей...
 
xXxSh@dowxXxДата: Понедельник, 25.06.2012, 21:45 | Сообщение # 3
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (BoneFeaR)
Но, все ссылки там умерли. Наверняка, что бы обезопасить крипторы.
Надеюсь на понимание.

да скорее всего так оно и есть, и на мой взгляд это правильно!

Quote (vvova15)
рабочим и актуальным криптором врятли кто поделиться.
а чтоб написать сейчас криптор, недостаточнно просто зашифровать секцию и записать расшифровщик. необходимо еще полиморфить код, разбирая его дизасемблером

именно так, все более менее полезное уходит в приват, хотя если поискать, порыться в паблике можно даже и что то стоящее собрать самому, тема впринципе пока еще актуальная, если очень нужно, поспрашивай у форумчан наших, может у кого есть из прошлых тем крипторы, я к сожалению крипторы еще не писал, ибо не нуждался, но если что то найду - выложу обязательно...

Quote (BoneFeaR)
Всем добра smile


Поддерживаю!!! biggrin
 
BoneFeaRДата: Понедельник, 25.06.2012, 22:45 | Сообщение # 4
Был не раз
Зарегистрирован: 25.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Ну если и покупать криптор, дак токо под самописный вирус. И то, если затеиваешь что нибудь плохое и коварное. А пабликовые вирусы как не криптуй , проактивная защита каспера остановит все действия.. Да и я не собираюсь заражать ололотысячи людей. Просто мне нужно стаскивать инфу, куки, переписку со скайпа у друзей, ну и звук прослушивать..
Когда то начинал учить язык C++, но потом забил ибо очень скучно wacko Тонны лишней инфы в самоучителях.
vvova15, вы бы не могли дать ссылку на краткое устройство языка дельфи и гайд по написанию криптора? Токо что бы без мусора всякого, там кулл стори и т.к. Буду благодарен biggrin
 
xXxSh@dowxXxДата: Понедельник, 25.06.2012, 23:57 | Сообщение # 5
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (BoneFeaR)
вы бы не могли дать ссылку на краткое устройство языка дельфи и гайд по написанию криптора? Токо что бы без мусора всякого, там кулл стори и т.к.


прошу прощения, но в данном случае, что касается языков программирования, то краткость далеко не сестра талланту)))
а С++ ты правильно что начал учить, только если говорить о том что изучать с самого начала, то для первого языка он слишком трудоемок, бери что нить попроще, многие советуют ассемблер...
 
Marra_KeshДата: Вторник, 26.06.2012, 00:11 | Сообщение # 6
Постоянный
Зарегистрирован: 19.12.2009
Группа: Модераторы
Сообщений: 182
Статус: Offline
Quote (xXxSh@dowxXx)
бери что нить попроще, многие советуют ассемблер...

No Comments! cool
 
Волк-1024Дата: Вторник, 26.06.2012, 14:35 | Сообщение # 7
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Quote
бери что нить попроще, многие советуют ассемблер...
Ага. Очень попроще. Например, вместо
Code
for i:=1 to 10 do ..
делать:
Code
      
            MOV ECX, 10H
            MOV EDX, 1H
        @@: {Действия}
            INC EDX
            CMP ECX, EDX
            JNE SHORT @b
            JMP ..


biggrin


Сообщение отредактировал Волк-1024 - Вторник, 26.06.2012, 14:36
 
BoneFeaRДата: Вторник, 26.06.2012, 17:01 | Сообщение # 8
Был не раз
Зарегистрирован: 25.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Кто нибудь знает про криптор Butcher.exe? Можно ли с его сырцами что-нибудь сделать?
 
xXxSh@dowxXxДата: Вторник, 26.06.2012, 17:09 | Сообщение # 9
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Волк-1024)
Ага. Очень попроще.


не ну разве не так?, в других языках ведь уже есть возможность добавлять код ассемблера, так как он встроен, а сам ассемблер он и в Африке ассемблер, машинный язык низкого уровня, зная его будет гораздо легче в изучении других языков.


Сообщение отредактировал xXxSh@dowxXx - Вторник, 26.06.2012, 17:10
 
C@TДата: Вторник, 26.06.2012, 17:48 | Сообщение # 10
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (xXxSh@dowxXx)
зная его будет гораздо легче в изучении других языков.

ну чем он тебе в php или java поможет я не знаю biggrin

ну а вообще, ассемблер самый простой язык программирования, т.к как там команд то всего ничего, просто кода больше, но он понятней и проще, и никакого тебе ООП, в котором иногда черт ногу сломит, ну вобщем по этому поводу можно долго спорить, но ассемблер знать нужно, хотябы для общего развития, да и в кодинге он помогает, начинаешь понимать как происходит выполнение программ на более низком уровне

а насчет крипторов, самое сложное в крипторе(имхо) это реализовать загрузку ехе , т.к со всеми релоками, импортами, баунд импортами, експортами, ресурсами и прочем возится долго, а когда есть стаб который может распаковать(раскриптовать) и загрузить внутри себя какой то ехе файл уже и делать почти ничего не нужно, просто генерить этот стаб с разными запакованными внутри ехе(если напистаь этот стаб на асме, то можно даже написать генератор данного стаба с добавлением ничего не делающего кода и т.д) , но если не стремится продавать этот криптор то можно сделать и стаб на с++/делфи, и уже просто править файл с исходником стаба(тоже добавляя полиморфного кода и вставлять закриптованное тело нужного ехе(можно в ресурс, можно строковой константой)) и запускать потом компилятор , который скомпилит этот исходник стаба и на выходи получится закриптованный ехе, лично я так и делаю, мой криптор представляет из себя просто исходник, в котором я меняю строковую константу(иногда могу почистить исходник) и просто компилю проект и билдера никакого не нужно, мне билдером служит компилятор smile
 
XSPYДата: Среда, 27.06.2012, 13:05 | Сообщение # 11
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
BoneFeaR, могу закриптовать тебе от Нода,Каспера,Веба,Аваста и Нортона...
Криптор на С++,хоть и паблик,но я его переработал,и теперь он криптует RAT'ы и логгеры и палево минимальное...
Работает Спайнет последний,Прорат,Кибергейт... Комету и Екстрим я не тестил-тестера небыло...


Сообщение отредактировал XSPY - Среда, 27.06.2012, 13:06
 
BoneFeaRДата: Среда, 27.06.2012, 15:59 | Сообщение # 12
Был не раз
Зарегистрирован: 25.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Quote (XSPY)
BoneFeaR, могу закриптовать тебе от Нода,Каспера,Веба,Аваста и Нортона... Криптор на С++,хоть и паблик,но я его переработал,и теперь он криптует RAT'ы и логгеры и палево минимальное... Работает Спайнет последний,Прорат,Кибергейт... Комету и Екстрим я не тестил-тестера небыло...

Хм.Тебе сервер кидать и ты криптонешь так?
Уже потиху изучаю дельфина. Но, ничего не понимаю пока....


Сообщение отредактировал BoneFeaR - Среда, 27.06.2012, 16:46
 
XSPYДата: Среда, 27.06.2012, 20:17 | Сообщение # 13
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
BoneFeaR, да.
я криптану-на тест тебе даю,если все пашет-ты платишь.
могу сам все оттестить-с тебя клиент,билдер и данные для теста...
Работу через гаранта за счет клиента приветствую)
 
BoneFeaRДата: Среда, 27.06.2012, 22:41 | Сообщение # 14
Был не раз
Зарегистрирован: 25.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Quote (XSPY)
BoneFeaR, да. я криптану-на тест тебе даю,если все пашет-ты платишь. могу сам все оттестить-с тебя клиент,билдер и данные для теста... Работу через гаранта за счет клиента приветствую)

Спс за предложение. Но, я выше генераторов вирусов еще не поднялся. Поэтому что-то сейчас покупать мне бесмысленно. Да и великий гугл помог найти криптора.... Наконец..
Спс отписавшимся тут.
 
xXxSh@dowxXxДата: Четверг, 28.06.2012, 09:46 | Сообщение # 15
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (XSPY)
и палево минимальное...


уже ушло то время когда для того что бы обойти антивирус можно было просто изменить пару байт, или криптануть дабы обойти сигнатурную проверку, нынче антивири палят практически любую закриптованную фигну, в момент распаковки, обращения загрузочной части к файлу который мы криптанули, хоть и эвристика не орет что это вирус, но может намекнуть что это может быть злонамеренный софт без подписи от неизвестного разработчика, а это то же подозрительно,хотя с расчетом на ламеров, это до сих пор работает biggrin

Пришло время написания искусного кода, с использованием уязвимых мест антивирусной защиты, с целью обхода даже той же самой всем уже надоевшей эвристики и прочих их новых приблуд...


Сообщение отредактировал xXxSh@dowxXx - Четверг, 28.06.2012, 09:49
 
C@TДата: Четверг, 28.06.2012, 14:35 | Сообщение # 16
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (xXxSh@dowxXx)
уже ушло то время когда для того что бы обойти антивирус можно было просто изменить пару байт, или криптануть дабы обойти сигнатурную проверку, нынче антивири палят практически любую закриптованную фигну, в момент распаковки, обращения загрузочной части к файлу который мы криптанули, хоть и эвристика не орет что это вирус, но может намекнуть что это может быть злонамеренный софт без подписи от неизвестного разработчика, а это то же подозрительно,хотя с расчетом на ламеров, это до сих пор работает


а UPX например, он тоже работает по принципу криптора, почему на него не орут АВ ?
 
xXxSh@dowxXxДата: Четверг, 28.06.2012, 17:33 | Сообщение # 17
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (C@T)
а UPX например, он тоже работает по принципу криптора, почему на него не орут АВ ?


UPX (the Ultimate Packer for eXecutables) — упаковщик исполняемых файлов, поддерживающий несколько различных платформ и форматов файлов. Является свободным и открытым программным обеспечением, и распространяется по лицензии GNU GPL с открытым исходным кодом...

быть может именно по этому эвристика антивирусов не реагирует на упакованные им (чистые) файлы, в момент их распаковки, ведь если исходники этого упаковщика есть в свободном доступе, то и разрабам антивирусов не составило бы труда добавить алгоритм распаковки в свои продукты, и любой добавленный в базы вирь, упаковонный обычным UPX наверника палится без проблем, или я ошибаюсь?

другое дело зловред написанный с нуля, которого еще пока нет в базах..., но мне кажется если BoneFeaR упакует какой либо паблик вирь или тот же вирь с генераторов именно чистым UPX'ом, то он так же безпрепятственно будет палиться антивирусами, тем более что на сколько мне известно UPX он больше сжимает чем пакует и шифрует код...


Сообщение отредактировал xXxSh@dowxXx - Четверг, 28.06.2012, 17:39
 
XSPYДата: Четверг, 28.06.2012, 18:30 | Сообщение # 18
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
xXxSh@dowxXx, ты это мне говоришь?) biggrin ничего личного,но я когда чищу криптор тот что предложил више-меня каждый раз смешит то,что все популярные (кроме Авиры,ибо я от нее не чистил... wink ) затыкаються,а всего-навсего поменял местами код и имена кой-чего...
И что получаеться?а ничего-все тот же баян...
 
C@TДата: Четверг, 28.06.2012, 19:41 | Сообщение # 19
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
xXxSh@dowxXx, вообще всегда получается что когда какой то софт(малварь) только написанн то он не палится почти ничем(у меня софт обычно палится 3/42 причем о тех АВ которые его палят я даже не слышал) , и когда он вдруг попадает на ВТ и через время начинает палится, то достаточно лишь почистить строковые константы и он чудесным образом возвращается к старому результату.

ну а по делу, для АВ очень геморно трасировать большие циклы, некоторые АВ их просто пропускают, а некоторые даже обламываются и перестают дальше трассировать код, когда то от нода помогал очень большей цикл со Sleep(0); , который на время исполнения занимал где то 4 секунды, а трассировка вообще могла бы 5 минут забрать, что антивирус делать не будет, дальше же если в процесс раскриптовки тела программы(малвари) добавить какую то вещь для антитрассировки, то в итоге АВ просто не сможет увидить раскриптованное тело нашего софта и само собой не сматерится на него smile

еще конечно очень хорошо иметь какую то систему для того чтобы софт(малварь) не работал там где не нужно, из личного опыта, когда софт попадает на ВТ и рассылается всем АВ компаниям его запускают люди на реальных компах и смотрят что он делает(дают ему полный доступ в интернет, однажды одна моя прога, она скидывала в в админку скрины с компа с каким то интервалом, попала на ВТ, так я в админке увидил скрины с тем как ее запускали на системе в какой то АВ компании) , еще одна ситуация тоже была, что если одна прога качает другую, то те проги которые она качает тоже идут на анализ(тоже из личного опыта, спалился ботнет, попал один лоадер на ВТ и в итоге там оказался еще один лоадер, ддос бот, спамер и стиллер, т.е все что прогружалось ботнету в тот момент, было обидно, после чего решил написать криптор(чтобы можно было каждый день обновлять ботов на чистые автоматически) ) smile
 
xXxSh@dowxXxДата: Четверг, 28.06.2012, 22:42 | Сообщение # 20
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (XSPY)
я когда чищу криптор тот что предложил више-меня каждый раз смешит то,что все популярные (кроме Авиры,ибо я от нее не чистил... wink ) затыкаються,а всего-навсего поменял местами код и имена кой-чего...

я имел ввиду не сигнатурное определение малварьки, вот вы говорите ВТ да ВТ, что из себя по сути представляет ВТ, вы кидаете туда свой файл на проверку, естественно вам вначале покажут что он ничем ну или почти ничем не детектиться, а все почему да потому что первая проверка происходит именно по базам данных, проще говоря по сигнатурам, а уже дальше, спустя какое то время, если их заинтересует, они начинают ваш файлик ковырять, и по мере изучения вашего кода решают добавлять его в новые базы или нет, это на мой взгляд абсолютно то же самое что написать новый малварь и проверить его антивирусом нажав на правую кнопку мыши и выбрав пункт проверить на вирусы, он просто сравнит его с базой данных, и не более того...

все это конечно замечательно, но я имел ввиду немного другой алгоритм детекции, может быть я путаюсь в терминах, в таком случае прошу прощения, но опять же из личного опыта, при использовании АВ Касперского, в новых версиях он вначале при обращении к файлу либо вами либо при открытии папки в котором лежит файл (через Explorer) сканирует его (файл) и сравнивает по сигнатурам, в этот момент как можно заметить мигает значек АВ в трее, далее при запуске файла открывается окошко в котором, если я правильно понял, как раз и происходит то о чем вы писали выше, а именно та самая троссировка, ну а уже после этого, если он ничего не обнаружил, он следит за активностью запущенного процесса, контролируя все его внедрения куда либо и обращения к каким либо иным файлам, папкам, реестру, и тп., то есть он может не обнаружить даже заново написанный малварь при запуске, но как только произойдет его обращение к каким либо другим, будь то системные файлы, или его же собственные лежащие с ним рядышком в папочке (при условии что это исполняемые файлы), АВ это обнаружит и выдаст юзеру сообщение о попытке обращения одного процесса к файлу, системной папке, реестру, или же другому процессу...

вот я о чем, именно это я и пытаюсь в последнее время обойти в своих программах, с целью того что бы на мой не подписанный какой либо цифровой подписью файл, АВ вобще никаких окон не выдавал, да... скажут многие, ведь не каждый антивирус выдает такие окна, но все же, даже эти не столь значительные окошечки все равно мозолят глаз юзеру...


Сообщение отредактировал xXxSh@dowxXx - Четверг, 28.06.2012, 22:50
 
C@TДата: Пятница, 29.06.2012, 03:17 | Сообщение # 21
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (xXxSh@dowxXx)
я имел ввиду не сигнатурное определение малварьки, вот вы говорите ВТ да ВТ, что из себя по сути представляет ВТ, вы кидаете туда свой файл на проверку, естественно вам вначале покажут что он ничем ну или почти ничем не детектиться, а все почему да потому что первая проверка происходит именно по базам данных, проще говоря по сигнатурам, а уже дальше, спустя какое то время, если их заинтересует, они начинают ваш файлик ковырять, и по мере изучения вашего кода решают добавлять его в новые базы или нет, это на мой взгляд абсолютно то же самое что написать новый малварь и проверить его антивирусом нажав на правую кнопку мыши и выбрав пункт проверить на вирусы, он просто сравнит его с базой данных, и не более того...


вообще то АВ все время на компе сканируют малварь, и все время проверяют файлы в папак которые ты открыл и в ихней проверке не только сигнатруная проверка но и эверистика(трассировка, т.е АВ пытается интерпритировать код малвари и понять что он может сделать(без запуска файла), от этого не спасают нифига не делающие команды), а вообще оно совместимо, ибо иногда начинает палится толькочто написанный(скомпиленный) софт, а все почему, трассировщик доходит до тех мест в коде которые он считает вредоносными, так что обычно перестановка команд местами не помогает, а вот если трассировщик до этого код не детектил, то просто изменив пару сингатур софт чистится

а вот у каспера есть фаервол, который уже следит за тем что делает запущенная программа, обходится это по разному, но в остновном сложно, хотя самый простой, и часто рабочий способ это просто как только появится окно ваетвола нажать на кномпу согласится, найдя хендел этой кнопки и вызвав SendMessage на нажатие(броблема в остновном заключается в том что это должен делать какой то другой процесс, ибо процесс для которого вылезло подтверждение замораживается, правда выписать из ресурса маленькую ехе-шку и запустить тоже можно, но многие фаерволы на это кричат, хотя каспер вродебы нет smile )
 
xXxSh@dowxXxДата: Пятница, 29.06.2012, 10:39 | Сообщение # 22
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (C@T)
а вот у каспера есть фаервол, который уже следит за тем что делает запущенная программа, обходится это по разному, но в остновном сложно, хотя самый простой, и часто рабочий способ это просто как только появится окно ваетвола нажать на кномпу согласится, найдя хендел этой кнопки и вызвав SendMessage на нажатие(броблема в остновном заключается в том что это должен делать какой то другой процесс, ибо процесс для которого вылезло подтверждение замораживается, правда выписать из ресурса маленькую ехе-шку и запустить тоже можно, но многие фаерволы на это кричат


вот вот, и я вам об этом толкую ребятки))) в этом то вся и загвоздка, обойти такую бяку не так просто как кажется, об этом и речь)))
 
BoneFeaRДата: Пятница, 29.06.2012, 17:12 | Сообщение # 23
Был не раз
Зарегистрирован: 25.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Quote (xXxSh@dowxXx)
вот вот, и я вам об этом толкую ребятки))) в этом то вся и загвоздка, обойти такую бяку не так просто как кажется, об этом и речь)))

Я конечно извиняюсь, если я напишу бред или что-то из ряда фантастики. Но, если попробывать написать код, который по типу от имени пользователя в антивирусе добавляет вирус в исключение? В ноде можно целую папку в исключение добавлять. Или заразить ту программу, которая стоит в исключение? ( хотя по мне это кажется уже из ряда фантастики еще той )....
Через бэкдор можно так сделать, но тяжело... Редко когда пользователь отходит на долгое время, что бы успеть добавить вирус в исключение.


Сообщение отредактировал BoneFeaR - Пятница, 29.06.2012, 17:13
 
xXxSh@dowxXxДата: Пятница, 29.06.2012, 19:12 | Сообщение # 24
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (BoneFeaR)
попробывать написать код, который по типу от имени пользователя в антивирусе добавляет вирус в исключение? В ноде можно целую папку в исключение добавлять. Или заразить ту программу, которая стоит в исключение?


задумка хорошая, а на практике АВ тебе выдаст тот же результат что и при работе любого другого малваря, пытающемуся обратиться к той же самой программке добавленной в исключение, хотя попробовать можно, почему бы нет...


Сообщение отредактировал xXxSh@dowxXx - Пятница, 29.06.2012, 19:12
 
C@TДата: Суббота, 30.06.2012, 09:40 | Сообщение # 25
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
BoneFeaR, все бы хорошо, но как вы собираетесь добавлять файл в исключение, как вариант проинжектится в гуи процесс антивируса , а потом уже вызвать какую то функцию в его процессе, но проблема в том что гуи процесс антивируса нельзя открыть олькой и посмотреть адресс нужной функции

а кликать мышкой по экрану в данном случае тупо
 
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz