yoyois Posted June 28, 2013 Report Posted June 28, 2013 (edited) In acest tutorial voi trata (treoretic) programele de tip crypter.Ca suport voi folosi crypterul "Night Crypter"(creatie proprie) inspirat de MoonCrypter.http://s16.postimg.org/i9fqod4r9/suport.png-Ce este un crypter? Crypterul este un program menit sa "impacheteze" un virus, sa il treaca de Antivirus si mai apoi sa-l execute.-Crypterele sunt, dupa metoda de ascundere pe care se axeaza: Scan-time (in timpul scanarii) (de catre AV) Run-Time (in timpul rularii) (in OS) - Cum ascunde(cripteaza) virusul si cum il executa?http://s21.postimg.org/nn8gf3hlj/schema.pngPentru a reusi aceasta "performanta", crypterul se foloseste de un Stub. Virusul (codul rau) este criptat(bitii sunt amestecati) si este lipit unui stub. Ansamblul Stub-virusCriptat (numit in poza "chestie") pare legit dpdv al unui AV.Pe calculatorul victimei, ansamblul este executat, Stubul prea virusul criptat, il decripteaza si il executa in sistem. (daca executia este facuta astfel incat sa nu fie detectata de AV -> run-time)Ca metoda de cryptare se folosesc algoritmi diversi (Rc4, 3Des, blowfish etc.) - Cum se lipeste virusul cryptat de stub?http://s2.postimg.org/js5403dd5/explicat.pngIn imagine stubul este reprezentat cu albastru.Este simplu sa ne imaginam cum se executa programele noastre in PC. Ele sunt citite de pe HDD si incarcate in memorie. Citirea fisierului se face pana cand se intalneste un "EOF". (end of file)Pentru a lipi o informatie (in acest caz un virus cryptat) unui stub, v-a trebui sa adaugam bitii(criptati) la sfarsitul fisierului. (dupa bitii normali ai programului)Informatiile trebuie separate printr-un spliter (grup de caractere aleatoriu) pentru a diferentia informatiile intre ele si de bitii programului (ca intr-un vector).La finalul acestui sandwich vom readauga EOF-ul programului initial.Acum, sandwich-ul arata ca un program obisnuit, insa la executia sa, se va incarca in memorie doar partea albastra (pana la primul EOF). - Ce face stub-ul ? Cum executa virusul?Stubul se auto-citeste (in intregime) si separa (cu ajutorul spliterelui) informatiile. In aceste informatii se va gasi virusul cryptat, parola de cryptare, metoda de cryptare, etc.Stubul va decrypta bitii virusului (obtinand virusul original) pe care il va incarca in memorie. - Stubul poate avea mai multe functii cum ar fi: Melt (dupa ce incarca virusul se auto-sterge). Install (se "instaleaza" undeva in sistem). Process Inject etc. - Cum facem un crypter FUD? De ce devin detectate? Contrar presupunerilor voastre Stubul este detectat de AV si nu virusul criptat.AV-urile identifica fragmente de cod ce decripteaza, executa, etc. virusul criptat.Pentru re FUD-area unui crypter trebuie sa modificam stub-ul. (schimbarea numelor variabilelor, functiilor , modificarea unor functii/metode, schimbarea spliterelui etc.)O alta metoda (inventata de Bunn cred) este USG (unique stub generator) care foloseste un tipar pentru a genera un stub usor modificat la fiecare cryptare. USG garanteaza o perioada mai mare de "viata" a unui crypter.Sper ca v-a fost de ajutor. Puteti sa mai postati aici intrebari.Daca copiati sau traduceti tutorialul, postati si sursa. Edited June 28, 2013 by yoyois 1 Quote
io.kent Posted June 29, 2013 Report Posted June 29, 2013 (edited) iti dau o mana de ajutor..aici va mai explic metoda de schimbare string-ului, Una dintre metode, imi place de a schimba de fapt siruri de caractere, etc De exemplu, aici este un stub. care devine cheia produsului, pe care le poti schimba. am subliniat toate siruri de caractere. Acum, va permite sa schimbati aceste siruri de caractere detectate la ceva mai bun si "FUD". pentru ca nu se vad pozele bine va las, si link-ul.. cu ele.. http://i.imgur.com/g9DVa6e.pnghttp://i.imgur.com/CaRNtJT.pngasta este prima metoda, metoda 2 Modificarea Filesplitsaceasta metoda este foarte simpla si foarte folositoare ca sa trecem de anti-virusi, pick up sa trecem de cod, AVIRA pune FileSplit. aici este un ex, de FileSplit. ce e detectat..acum putem schimba FileSplit. cu altceva, folositi ceva lung si avansat, asta este ce am facut eu :http://img214.imageshack.us/img214/459/fud4.pngmetoda 3, schimbare iconaceasta metoda e noua, cu ea se reduce, avira, si inca 1,2,,3 anti-virusi. Deci, daca ati trece deja Avira atunci nu folosi aceasta metoda pe fi?ierul deocamdata, pentru ca aceasta metoda face fisierul mai mare, in schimb va recomand un icon, de alta resolutie..http://i.imgur.com/YcCaxdr.pngMetoda 4: Utilizarea Builder IO Aceasta metoda este una dintre metodele mele preferate, deoarece scade intotdeauna rata de detectie. Cele mai multe anti-virus "ridica fileopen cuvantul si fileclose etc, Un alt avantaj al acestei metode este faptul ca scurteaza codul mult, face stub-ul. dvs. mai mic..Metoda 5: Obfuscationstiu ca multi dintre voi stitii sa folositii Obfuscation si stitii despre ce este vorba,pentru cei ce nu stiu : Este pur ?i simplu obfuscates codul cripteaza siruri de caractere, nu pentru a arata ca codul dvs astfel, facandu-l mai indetectabil.. pentru asta va las, jucariile mele..Postbuild.exe : Postbuild.exe de mult nu lam mai verificat, aveti grija, folositi, sandboxieSmart Assembly 4.1: {smartassembly} .NET Obfuscator 4.1 - Free {smartassembly} .NET Obfuscator Download at Downloadplex.comMetoda 6: Junk Codeimi place si metoda asta deoarece rareori functioneaza bine multi dintre programatori, urasc aceasta metoda, pentru ca nu e practica la programat si face ca server-ul vostru sa fie mai mare, va las, si link-ul de descarcare pentru cei ce vor sa incerce..la fel si aici nu ma fac responsabil, ca nu lam scanat de foarte mult timp, eu al folosesc, dar cu grija, asa si voi, nu vreau ca dupa un timp sa venitii cu injuraturi..Junk Gen.exe Junk Gen.exesfaturi.. aici va zic cateva sfaturi, sa tineti cont de ele, niciodata nu numitii un proiect sub nume de stub sau daca vreti sa-i schimbati numele la proiect, client, niciodata nu folositi filesplit, split, stub in program..Bafta la proiecte...Edit// dece nu se vad pozele ¿? Edited June 29, 2013 by io.kent Quote
Jimmy Posted June 29, 2013 Report Posted June 29, 2013 (edited) @io.kent, sursa?Pwned Edited June 29, 2013 by Jimmy Quote