Leaderboard

In acest tutorial voi trata (treoretic) programele de tip crypter. Ca suport voi folosi crypterul "Night Crypter"(creatie proprie) inspirat de MoonCrypter. http://s16.postimg.org/i9fqod4r9/suport.png -Ce este un crypter? Crypterul este un program menit sa "impacheteze" un virus, sa il treaca de Antivirus si mai apoi sa-l execute. -Crypterele sunt, dupa metoda de ascundere pe care se axeaza: Scan-time (in timpul scanarii) (de catre AV) Run-Time (in timpul rularii) (in OS) - Cum ascunde(cripteaza) virusul si cum il executa? http://s21.postimg.org/nn8gf3hlj/schema.png Pentru a reusi aceasta "performanta", crypterul se foloseste de un Stub. Virusul (codul rau) este criptat(bitii sunt amestecati) si este lipit unui stub. Ansamblul Stub-virusCriptat (numit in poza "chestie") pare legit dpdv al unui AV. Pe calculatorul victimei, ansamblul este executat, Stubul prea virusul criptat, il decripteaza si il executa in sistem. (daca executia este facuta astfel incat sa nu fie detectata de AV -> run-time) Ca metoda de cryptare se folosesc algoritmi diversi (Rc4, 3Des, blowfish etc.) - Cum se lipeste virusul cryptat de stub? http://s2.postimg.org/js5403dd5/explicat.png In imagine stubul este reprezentat cu albastru. Este simplu sa ne imaginam cum se executa programele noastre in PC. Ele sunt citite de pe HDD si incarcate in memorie. Citirea fisierului se face pana cand se intalneste un "EOF". (end of file) Pentru a lipi o informatie (in acest caz un virus cryptat) unui stub, v-a trebui sa adaugam bitii(criptati) la sfarsitul fisierului. (dupa bitii normali ai programului) Informatiile trebuie separate printr-un spliter (grup de caractere aleatoriu) pentru a diferentia informatiile intre ele si de bitii programului (ca intr-un vector). La finalul acestui sandwich vom readauga EOF-ul programului initial. Acum, sandwich-ul arata ca un program obisnuit, insa la executia sa, se va incarca in memorie doar partea albastra (pana la primul EOF). - Ce face stub-ul ? Cum executa virusul? Stubul se auto-citeste (in intregime) si separa (cu ajutorul spliterelui) informatiile. In aceste informatii se va gasi virusul cryptat, parola de cryptare, metoda de cryptare, etc. Stubul va decrypta bitii virusului (obtinand virusul original) pe care il va incarca in memorie. - Stubul poate avea mai multe functii cum ar fi: Melt (dupa ce incarca virusul se auto-sterge). Install (se "instaleaza" undeva in sistem). Process Inject etc. - Cum facem un crypter FUD? De ce devin detectate? Contrar presupunerilor voastre Stubul este detectat de AV si nu virusul criptat. AV-urile identifica fragmente de cod ce decripteaza, executa, etc. virusul criptat. Pentru re FUD-area unui crypter trebuie sa modificam stub-ul. (schimbarea numelor variabilelor, functiilor , modificarea unor functii/metode, schimbarea spliterelui etc.) O alta metoda (inventata de Bunn cred) este USG (unique stub generator) care foloseste un tipar pentru a genera un stub usor modificat la fiecare cryptare. USG garanteaza o perioada mai mare de "viata" a unui crypter. Sper ca v-a fost de ajutor. Puteti sa mai postati aici intrebari. Daca copiati sau traduceti tutorialul, postati si sursa.