Jump to content
yoyois

Crypter: Principii, Clase, how to get FUD

Recommended Posts

Posted (edited)

In acest tutorial voi trata (treoretic) programele de tip crypter.

Ca suport voi folosi crypterul "Night Crypter"(creatie proprie) inspirat de MoonCrypter.

http://s16.postimg.org/i9fqod4r9/suport.png

-Ce este un crypter?

Crypterul este un program menit sa "impacheteze" un virus, sa il treaca de Antivirus si mai apoi sa-l execute.

-Crypterele sunt, dupa metoda de ascundere pe care se axeaza:

Scan-time (in timpul scanarii) (de catre AV)

Run-Time (in timpul rularii) (in OS)

- Cum ascunde(cripteaza) virusul si cum il executa?

schema.png

http://s21.postimg.org/nn8gf3hlj/schema.png

Pentru a reusi aceasta "performanta", crypterul se foloseste de un Stub. Virusul (codul rau) este criptat(bitii sunt amestecati) si este lipit unui stub. Ansamblul Stub-virusCriptat (numit in poza "chestie") pare legit dpdv al unui AV.

Pe calculatorul victimei, ansamblul este executat, Stubul prea virusul criptat, il decripteaza si il executa in sistem. (daca executia este facuta astfel incat sa nu fie detectata de AV -> run-time)

Ca metoda de cryptare se folosesc algoritmi diversi (Rc4, 3Des, blowfish etc.)

- Cum se lipeste virusul cryptat de stub?

explicat.png

http://s2.postimg.org/js5403dd5/explicat.png

In imagine stubul este reprezentat cu albastru.

Este simplu sa ne imaginam cum se executa programele noastre in PC. Ele sunt citite de pe HDD si incarcate in memorie. Citirea fisierului se face pana cand se intalneste un "EOF". (end of file)

Pentru a lipi o informatie (in acest caz un virus cryptat) unui stub, v-a trebui sa adaugam bitii(criptati) la sfarsitul fisierului. (dupa bitii normali ai programului)

Informatiile trebuie separate printr-un spliter (grup de caractere aleatoriu) pentru a diferentia informatiile intre ele si de bitii programului (ca intr-un vector).

La finalul acestui sandwich vom readauga EOF-ul programului initial.

Acum, sandwich-ul arata ca un program obisnuit, insa la executia sa, se va incarca in memorie doar partea albastra (pana la primul EOF).

- Ce face stub-ul ? Cum executa virusul?

Stubul se auto-citeste (in intregime) si separa (cu ajutorul spliterelui) informatiile. In aceste informatii se va gasi virusul cryptat, parola de cryptare, metoda de cryptare, etc.

Stubul va decrypta bitii virusului (obtinand virusul original) pe care il va incarca in memorie.

- Stubul poate avea mai multe functii cum ar fi: Melt (dupa ce incarca virusul se auto-sterge). Install (se "instaleaza" undeva in sistem). Process Inject etc.

- Cum facem un crypter FUD? De ce devin detectate?

Contrar presupunerilor voastre Stubul este detectat de AV si nu virusul criptat.

AV-urile identifica fragmente de cod ce decripteaza, executa, etc. virusul criptat.

Pentru re FUD-area unui crypter trebuie sa modificam stub-ul. (schimbarea numelor variabilelor, functiilor , modificarea unor functii/metode, schimbarea spliterelui etc.)

O alta metoda (inventata de Bunn cred) este USG (unique stub generator) care foloseste un tipar pentru a genera un stub usor modificat la fiecare cryptare. USG garanteaza o perioada mai mare de "viata" a unui crypter.

Sper ca v-a fost de ajutor. Puteti sa mai postati aici intrebari.

Daca copiati sau traduceti tutorialul, postati si sursa.

Edited by yoyois
  • Upvote 1
Posted (edited)

iti dau o mana de ajutor..

aici va mai explic metoda de schimbare string-ului,

Una dintre metode, imi place de a schimba de fapt siruri de caractere, etc De exemplu, aici este un stub. care devine cheia produsului, pe care le poti schimba. am subliniat toate siruri de caractere. Acum, va permite sa schimbati aceste siruri de caractere detectate la ceva mai bun si "FUD".

pentru ca nu se vad pozele bine va las, si link-ul.. cu ele.. http://i.imgur.com/g9DVa6e.png

g9DVa6e.png

9qecqt.pnghttp://i.imgur.com/CaRNtJT.png

asta este prima metoda,

metoda 2 Modificarea Filesplits

aceasta metoda este foarte simpla si foarte folositoare ca sa trecem de anti-virusi, pick up sa trecem de cod,

AVIRA pune FileSplit. aici este un ex, de FileSplit. ce e detectat..

acum putem schimba FileSplit. cu altceva, folositi ceva lung si avansat, asta este ce am facut eu :

j3rafjz.png

fud4.pnghttp://img214.imageshack.us/img214/459/fud4.png

metoda 3, schimbare icon

aceasta metoda e noua, cu ea se reduce, avira, si inca 1,2,,3 anti-virusi. Deci, daca ati trece deja Avira atunci nu folosi aceasta metoda pe fi?ierul deocamdata, pentru ca aceasta metoda face fisierul mai mare, in schimb va recomand un icon, de alta resolutie..

YcCaxdr.pnghttp://i.imgur.com/YcCaxdr.png

Metoda 4: Utilizarea Builder IO

Aceasta metoda este una dintre metodele mele preferate, deoarece scade intotdeauna rata de detectie. Cele mai multe anti-virus "ridica fileopen cuvantul si fileclose etc, Un alt avantaj al acestei metode este faptul ca scurteaza codul mult, face stub-ul. dvs. mai mic..

Metoda 5: Obfuscation

stiu ca multi dintre voi stitii sa folositii Obfuscation si stitii despre ce este vorba,pentru cei ce nu stiu : Este pur ?i simplu obfuscates codul cripteaza siruri de caractere, nu pentru a arata ca codul dvs astfel, facandu-l mai indetectabil.. pentru asta va las, jucariile mele..

Postbuild.exe : Postbuild.exe de mult nu lam mai verificat, aveti grija, folositi, sandboxie

Smart Assembly 4.1: {smartassembly} .NET Obfuscator 4.1 - Free {smartassembly} .NET Obfuscator Download at Downloadplex.com

Metoda 6: Junk Code

imi place si metoda asta deoarece rareori functioneaza bine multi dintre programatori, urasc aceasta metoda, pentru ca nu e practica la programat si face ca server-ul vostru sa fie mai mare, va las, si link-ul de descarcare pentru cei ce vor sa incerce..

la fel si aici nu ma fac responsabil, ca nu lam scanat de foarte mult timp, eu al folosesc, dar cu grija, asa si voi, nu vreau ca dupa un timp sa venitii cu injuraturi..

Junk Gen.exe Junk Gen.exe

sfaturi.. aici va zic cateva sfaturi, sa tineti cont de ele, niciodata nu numitii un proiect sub nume de stub sau daca vreti sa-i schimbati numele la proiect, client, niciodata nu folositi filesplit, split, stub in program..

Bafta la proiecte...

Edit// dece nu se vad pozele ¿?

Edited by io.kent

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...