[RST] Royal Crypter v3.0

[curtuy]

Asa am crezut si eu dar am incercat sa adaug la inceputul fisierului

MZhamster{Dil}

si serverul inca ruleaza, in textbox [de exemplu] aparand partea de dinainte de {Dil}.

Am observat ca defapt inlocuieste caracterele

ÿÿ

dar totusi merge.

[Nytro]

Nu cred ca am inteles ce ai incercat. Citeste cate ceva despre structura executabilelor:

http://rstcenter.com/forum/14184-portable-executable-format.rst?highlight=portable+executable

http://rstcenter.com/forum/14375-microsoft-portable-executable-common-object-file-format-specification.rst?highlight=portable+executable

http://rstcenter.com/forum/14376-peering-inside-pe-tour-win32-pe-file-format.rst?highlight=portable+executable

http://rstcenter.com/forum/14377-depth-look-into-win32-pe-file-format.rst?highlight=portable+executable

Cam astea ar fi. Si o sa intelegi exact.

[curtuy]

Multumesc de linkuri

Din ce am citit aici: http://rstcenter.com/forum/14377-depth-look-into-win32-pe-file-format.rst am inteles ceea ce ai spus tu mai sus: ca orice ai scrie la sfarsitul unui executabil e ignorat in memorie:

A module in memory represents all the code, data, and resources from an executable file that is needed by a process. Other parts of a PE file may be read, but not mapped in (for instance, relocations). Some parts may not be mapped in at all, for example, when debug information is placed at the end of the file.

Dar daca adaug la inceputul fisierului [care am vazut ca e MS-DOS Header] initialele MZ + maxim 58 de caractere, executabilul ruleaza [pana la caracterul ¸ [ALT+0184]].

Programul cu care am incercat:

Writer [...nu stiu cum ar trebui sa se numeasca]

Private Sub Command1_Click()

Dim BinStr As String

Open App.Path & "\Stub.exe" For Binary As #1

Put #1, , Text1.Text

Close #1

End Sub

Stub-ul:

Private Sub Form_Load()

Dim BinStr As String

Open App.Path & "\" & App.EXEName & ".exe" For Binary As #1

BinStr = Space(100)

Get #1, , BinStr

Close #1

Text1.Text = Split(BinStr, "{DIL}")(0)

End Sub

PS: Scriu la inceputul fisierului pentru ca daca scriu la sfarsit antivirusul mi-l detecteaza ca dropper [poate metodele mele nu sunt bune...]

Edited May 21, 2010 by curtuy

[Nytro]

Da, daca vrei sa faci un crypter trebuie sa scapi de antivirusi. Daca ai veni cu o idee originala ar fi perfect. Poti de exemplu sa scrii datele intr-o alta sectiune, dar tot nu faci mare lucru. Poti pune ca fisier de resursa, manual, un fisier, dar si aici trebuie sa ai imaginatie. In plus, problema e la PE Loader, la codul ce incarca executabilul cryptat in memorie. Eu am venit cu o idee originala (control ActiveX care il incarca) care inca functioneaza foarte bine. Problema e cum "arunci" fisierele.

[curtuy]

Da, daca vrei sa faci un crypter trebuie sa scapi de antivirusi.

Scuze, am omis partea cu cryptarea... eu foloseam doar partea cu scrisul datelor la sfarsit, iar pentru cate date am eu de scris in fisier imi ajung si caracterele de la inceput . De cryptat nu am nevoie, pentru ca serverul deja imi e FUD [multumita tutorialului tau de aici http://rstcenter.com/forum/10720-rst-tutorial-vb6-crearea-unui-trojan-vb6-nytro.rst - bine, acuma trojanul face aproape tot ce facea prorat pe vremuri].

Daca pe viitor va trebui sa salvez mai multe date in server, voi folosi varianta cu resursele.

Multumesc inca o data pentru linkuri.

[gara1994]

Da ce face programu ista ca tot nus:|

[Nytro]

Ce facea mai bine zis. Pe scurt: "transforma" un executabil detectabil intr-unul nedetectabil.

[graphicsextreme]

05-24-2010, 09:45 AM

Ar trebuii sa se adauge font-size:100000% la data,poate vad si miopii astia.

[NeSsCaFeRO]

Nu conteaza designul daca programul functioneaza si e de calitate xD.

[Gabriel87]

Nu conteaza designul daca programul functioneaza si e de calitate xD.

Altu alt topic nu ai gasit sa comentezi numai asta vechi:))

de deschis merge sa te joci cu el dar nu iti mai face serverul nedetectabil

[DJNeo]

ce tre` sa modific sa fac "Stub.exe" nedetectabil ?

[Nytro]

Portiunea de cod detectabila... Nu mai stiu care e, probabil Loader-ul inca nu e, e control ActiveX. Vezi partea de "dropping" unde stub-ul se citeste singur incarca executabilul in memorie.

[justjoker]

Nu va suparati ca va intreb , am folosit si eu acest crypter toate bune si frumoase dar nu inteleg unde salveaza fisierele cryptate !!!

[Nytro]

Salveaza in acelasi folder in care se afla cred. Oricum, nu afiseaza un MsgBox cu locatia dupa ce il salveaza? Nu mai stiu...

[BogdanWDK]

Stiu ca nu e frumos sa reinvii topicuri ...

Am folosit programu cu 10 keyloggere generate de HC stealer si iStealer apoi le-am scanat cu Eset smart security 4 update la zi si ghiciti rezultatul : CLEAN .

Asadar , inca functioneaza .

Multumesc celor care nu l-au scanat pe VirusTotal .

@Nytro : dupa criptare genereaza MsgBox cu locatia fisierului criptat

[Nytro]

Nu stiu ce ai scanat tu...

http://www.virustotal.com/file-scan/report.html?id=5228eae4b11ceed3fad19e591b5c800433783503e615560f0739d4f91e4a2d9b-1315512955

Si asta e cu un fisier simplu si inofensiv cryptat, pentru ca stub-ul e detectabil.

[1337]

Nu mai e fud. Naspa.

[dansud2007]

Odata pus pe acest site nu are cum sa ramana fud !

[Dragos]

Odata pus pe acest site nu are cum sa ramana fud !

[vasilica233]

interesant

[funboy20_03]

poate te hotarasti sa ii adaugi optiunde de load stub. Ar fi interesant, si ar fi usor de mentinut [FUD]

[Endakin]

Nu mai e fud, dar totusi avast nu il detecteaza

[Nytro]

E de acum 3 ani, nu cred ca mai e "util" DESI Loader-ul e un ActiveX care nu cred ca e foarte detectat.

[aleks3y]

Super tare loaderul, dar din pacate nu toata lumea are privilegii de Administrator.. Cu un loader "imprumutat' si ceva functii skimbate ar merge ca lumea. Oricum super tare asta..

[LoseControL]

Bitdefender Report :

Nume virus: Gen:Trojan.Heur.pm0@dTFCVpki