Jump to content
Nytro

[RST] Royal Crypter v3.0

Recommended Posts

Ca sa nu stric structura executabilului. Sa iti explic simplu. Descide orice executabil, si o sa vezi ca primele 2 caractere sunt "MZ". Daca pui altceva nu va mai rula, pentru ca nu va mai fi valid. In schimb, la final poti adauga ce vrei fara sa ii strici structura. Bine, de fapt o strici, dar va rula fara probleme.

Share this post


Link to post
Share on other sites

Asa am crezut si eu dar am incercat sa adaug la inceputul fisierului

MZhamster{Dil}
si serverul inca ruleaza, in textbox [de exemplu] aparand partea de dinainte de {Dil}.

Am observat ca defapt inlocuieste caracterele

ÿÿ
dar totusi merge.

Share this post


Link to post
Share on other sites

Multumesc de linkuri :)

Din ce am citit aici: http://rstcenter.com/forum/14377-depth-look-into-win32-pe-file-format.rst am inteles ceea ce ai spus tu mai sus: ca orice ai scrie la sfarsitul unui executabil e ignorat in memorie:

A module in memory represents all the code, data, and resources from an executable file that is needed by a process. Other parts of a PE file may be read, but not mapped in (for instance, relocations). Some parts may not be mapped in at all, for example, when debug information is placed at the end of the file.

Dar daca adaug la inceputul fisierului [care am vazut ca e MS-DOS Header] initialele MZ + maxim 58 de caractere, executabilul ruleaza [pana la caracterul ¸ [ALT+0184]].

Programul cu care am incercat:

Writer [...nu stiu cum ar trebui sa se numeasca]

Private Sub Command1_Click()

Dim BinStr As String

Open App.Path & "\Stub.exe" For Binary As #1

Put #1, , Text1.Text

Close #1

End Sub

Stub-ul:

Private Sub Form_Load()

Dim BinStr As String

Open App.Path & "\" & App.EXEName & ".exe" For Binary As #1

BinStr = Space(100)

Get #1, , BinStr

Close #1

Text1.Text = Split(BinStr, "{DIL}")(0)

End Sub

PS: Scriu la inceputul fisierului pentru ca daca scriu la sfarsit antivirusul mi-l detecteaza ca dropper [poate metodele mele nu sunt bune...]

Edited by curtuy

Share this post


Link to post
Share on other sites

Da, daca vrei sa faci un crypter trebuie sa scapi de antivirusi. Daca ai veni cu o idee originala ar fi perfect. Poti de exemplu sa scrii datele intr-o alta sectiune, dar tot nu faci mare lucru. Poti pune ca fisier de resursa, manual, un fisier, dar si aici trebuie sa ai imaginatie. In plus, problema e la PE Loader, la codul ce incarca executabilul cryptat in memorie. Eu am venit cu o idee originala (control ActiveX care il incarca) care inca functioneaza foarte bine. Problema e cum "arunci" fisierele.

Share this post


Link to post
Share on other sites
Da, daca vrei sa faci un crypter trebuie sa scapi de antivirusi.

Scuze, am omis partea cu cryptarea... eu foloseam doar partea cu scrisul datelor la sfarsit, iar pentru cate date am eu de scris in fisier imi ajung si caracterele de la inceput :P. De cryptat nu am nevoie, pentru ca serverul deja imi e FUD [multumita tutorialului tau de aici http://rstcenter.com/forum/10720-rst-tutorial-vb6-crearea-unui-trojan-vb6-nytro.rst - bine, acuma trojanul face aproape tot ce facea prorat pe vremuri].

Daca pe viitor va trebui sa salvez mai multe date in server, voi folosi varianta cu resursele.

Multumesc inca o data pentru linkuri.

Share this post


Link to post
Share on other sites
Nu conteaza designul daca programul functioneaza si e de calitate xD.

Altu :| alt topic nu ai gasit sa comentezi numai asta vechi:))

de deschis merge sa te joci cu el dar nu iti mai face serverul nedetectabil

Share this post


Link to post
Share on other sites

Portiunea de cod detectabila... Nu mai stiu care e, probabil Loader-ul inca nu e, e control ActiveX. Vezi partea de "dropping" unde stub-ul se citeste singur incarca executabilul in memorie.

Share this post


Link to post
Share on other sites

Salveaza in acelasi folder in care se afla cred. Oricum, nu afiseaza un MsgBox cu locatia dupa ce il salveaza? Nu mai stiu...

Share this post


Link to post
Share on other sites

Stiu ca nu e frumos sa reinvii topicuri ...

Am folosit programu cu 10 keyloggere generate de HC stealer si iStealer apoi le-am scanat cu Eset smart security 4 update la zi si ghiciti rezultatul : CLEAN .

Asadar , inca functioneaza .

Multumesc celor care nu l-au scanat pe VirusTotal .

@Nytro : dupa criptare genereaza MsgBox cu locatia fisierului criptat

Share this post


Link to post
Share on other sites

Nu stiu ce ai scanat tu...

http://www.virustotal.com/file-scan/report.html?id=5228eae4b11ceed3fad19e591b5c800433783503e615560f0739d4f91e4a2d9b-1315512955

Si asta e cu un fisier simplu si inofensiv cryptat, pentru ca stub-ul e detectabil.

Share this post


Link to post
Share on other sites

E de acum 3 ani, nu cred ca mai e "util" DESI Loader-ul e un ActiveX care nu cred ca e foarte detectat. :)

Share this post


Link to post
Share on other sites

Super tare loaderul, dar din pacate nu toata lumea are privilegii de Administrator.. Cu un loader "imprumutat' si ceva functii skimbate ar merge ca lumea. Oricum super tare asta..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...