ВАЖНО Делаем криптор вместе

[ja_far]

Мало кто всё понимает, будем разбираться, для этого тут и собрались ) Инфа нужна, толковой инфы мало, по крайней мере в открытом доступе. По поводу антиэмуляции наглядный пример: без неё - криптуем чистым криптором что-то безобидное - FUD, что-то вредное - палит. Палит потому что эмулятор АВ "смотрит" и "видит" какие действия будет выполнять этот код при запуске. Но если к примеру в функцию расшифровки или запуска вставить нечто что эмулятор АВ не сможет правильно "прощитать" (эмуляция отличается от запуска на выполнение), он не поймет и какие действия выполнит этот код и соответственно не будет его блокировать. Разве-что сможет запретить некие действия по факту их выполнения - к примеру запретить доступ в интернет или к системным файлам - но так глубоко - до уровня обхода проактивной защиты я сам не копал.

 

[denis7656]

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

пасс:

штук десять из низ посмотрел все на VB, может есть что-то и на других языках, только что нашел, времени все проверять нету. Ну может и на VB есть свои любители. Лично мне ближе Delhi и ASM.

Есть еще много исходников крипторов и пакеров на Delphi, если надо могу выложить, сейчас пока лень по всему компу их в пачку собирать, у меня на компе просто свалка =(.

Сам сейчас ищу способы обхода виртуальных машин антивирусников, пока что нашел 3 способа, но особо не тестил их.
Кто по этой части что знает - давайте делиться.

 

[X-Shar]

Сам сейчас ищу способы обхода виртуальных машин антивирусников, пока что нашел 3 способа, но особо не тестил их.

А у тебя авиру получилось обойти ?

Каспера и большенство легко указанным в этой теме сбособом, там идёт вызов через одно место процедуры с кодом который нужно скрыть, что-то каспер меня разочаравал, у них такой хороший поведенческий детект, а сканер что-то подводит, видно забили они на сканер...

Вот здессь ещё можно глянуть:https://ru-sphere.ru/threads/isxodniki-kriptora-na-s.709/

Там обход вроде MS есть...

 

[denis7656]

По поводу Авиры как-то получалось, уже не помню как. Но рабочий способ у меня был, причем какой-то простой, пару минут работы. Постараюсь найти и выложить. Сейчас пишу небольшую прогу для чистки PE от мусора. Как допишу тут выложу. Она как показывает практика тоже затыкает несколько АВ.
На счет каспера ничего сказать не могу, им попросту не пользуюсь т.к.

В основном пользуюсь ДрВэбом, и то только сканом, спайдер у меня всегда отключен. Уже давно я сам себе антивирус.

 

[denis7656]

X-Shar, Спасибо большое за ссылку, прочитал всю тему от начала до конца, много интересного, качнул криптор из перорго поста и твой криптор, тоже интересно глянуть твою реализацию. Может потом ради интереса перепишу на Delphi, интересно на размер стаба потом глянуть. Кстати, если писать на билдере, таскать с собой DLL не обязательно, можно запихивать ее в ресурсы EXE, потом грузить оттуда при запуске.
Плюс ко всему можно попробовать сам стаб запаковать нормальным пакером простым для безпалевности, потом все это дело протестить.
За сорс твоего криптора спасибо.

 

[X-Shar]

Кстати, если писать на билдере, таскать с собой DLL не обязательно, можно запихивать ее в ресурсы EXE, потом грузить оттуда при запуске.

Я сейчас переписываю в Microsoft Visual, но там среда другая немного тяжело, даже незнаю когда закончу....

Там стаб будет примерно 50 КБ, но наверняка можно уменьшить в настройках компилятора, там их очень много я ещё не разбирался...

Плюс ещё попробую реализовать антиэмуль из Krypton, если конечно получится...

Я многое не понимаю в устройствах АВ, т.к. реверсом пока не умею заниматься, поэтому всё на интуитивном уровне пока...

 

[denis7656]

X-Shar, вот ссылка на торрент из моих фалов по антидетекту

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Всего добра около 3,5 гигов.

Список видео по АнДетекту:
Еще один видео мануал от не без известного NoX'a\
Еще одна чистка стаба с помощью изменения имени системных .dll\
Еще одно видео по читске джойнера с помощью WinHex'a от наших испанских колег\
Очень доступное и понятное видео как чистить софтинку от VaZoNeZ'a\
Чистка крипторов на примере FreeCryptor\
01 ENSEÑANDO A MOVER ENTRYPOINT.rar
1) Avirafuera.exe - Простое и понятное видео. Формат exe. Если боитесь - запускайте на виртуалке. -- Avirafuera.exe
02 ENSEÑANDO METODO XOR.rar
2) Dertman %100 fud.rar - Тоже отличное видео для начала. -- Dertman %100 fud.rar
03 ENSEÑANDO HEX ALEATORIO.rar
3) Видео от DecoDer79 - замечательное видео. -- Modeando_con_Encriptado_por_decoder.flv
04 ENSEÑANDO MODIFICANDO TABLAS.rar
05 ENSEÑANDO AVFUCKER.rar
06 ENSEÑANDO DSPLIT.rar
6) Чистка на примере Gio криптера.mp4
07 ENSEÑANDO MOVIENDO CON OLLY.rar
08 ENSEÑANDO REMPLANZANDO RTLMOVEMEMORY.rar
8) Modding your STUB.rar - Два видео + текст (.doc, на англорусском в картинках - разберетесь). -- Modding your STUB.rar
09 ENSEÑANDO RETOCANDO CON LORPE.rar
9) Todas+las+Partes - Комплексный набор (password

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

). -- Todas+las+Partes

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

10 ENSEÑANDO A AÑADIR SECCIONES A NUESTRO STUB.rar
11 ENSEÑANDO A REMPLAZAR LAS LLAMADAS CON OLLY.rar
12 ENSEÑANDO A CAMBIAR INFO RESHACKER.rar
APLICANDO MODIFICANDO RTLMOVEMEMORY POR DECODER79.mp4
entrypoint @ olly.rar
icarus_ep_xor.rar
KillAviraByHEX by PaRaN0!D.rar
Modeando con PlauN Metodo DSPLIT para novatos 2013].mp4
Modificando delimitadores by Metal Kingdom.mp4
PoC AntiVir [entropy level- 1].mp4
sacar avira de la cabecera.swf
SEH.rar
Tutorial Kav Heur by MataBarras.mp4
Tutorial Modding Avfucker para novatos 2013].mp4
Tutorial RIT by MataBarras.mp4
undetect.rar
Undetect Anlatım By HolyTURK.rar
x0r By Dr.G3NIUS.rar
xor+videolu+anlatim+spyjohn.rar
Еще одно видео про перемещение таблицы импорта -- Mover Import Table LordPE [Teoria].mp4
Очень доступное и понятное видео как чистить софтинку от VaZoNeZ'a. -- Чистка стаба.mp4


Плюс ко всему в торренте есть :
Avira – heuristic disasm
Metodo-XOR -parL0us

Soft:
Complex Cryptor Test - CCT

МегаСборники по АнДетекту:
Undetected Methods Xpress
Undetectable Methods v3.0

 

[X-Shar]

Прикольно, а какой пароль на скачку ?

 

[denis7656]

пароль отписал в ЛС, хотя....
Пусть остальные тоже качают что кому нужно.
Нужно делиться со всеми =)) А то будет как-то неправильно по отношению к остальным.
[HIDE=5]Пароль - мой никнейм[/HIDE]
Раздачу начну через пол часа - часик, может раньше.

 

[denis7656]

переставлял винду после BSOD'a, только что продолжил раздачу (24/7) для тех кто не докачал, я торрент перезалил. вот линк [HIDE=5]http://rghost.ru/private/58786925/cbcf2d77851d254177b87203b65e4390[/HIDE]
просто обновите торрент.