ВАЖНО Делаем криптор вместе

[X-Shar]

то есть файл стал беспалевнее или более палевнее ?

Конечно беспалевнее, из топовых обнаруживает только:Бит,Доктор,Аваст и Авира, хоть на ВТ и написано что 12-ть из 54 детектит, НО 6-ть АВ это на движке бита, итого всего 6-ть АВ детектят из 54, неплохой результат...

Ну конечно требует доработки...

 

[denis7656]

классно=)
можно и их обойти, надо подумать =)
а под этот метод напишу код, как дополнение к другим способам.

Gen:Trojan.Heur.nGY@HD7t5ccc
че-то мне подсказывает что это уже по сигнатуре палит, значит еще 6 можно заткнуть патчем палевной сигны.
А может и еще что-то из аверов отомрет =)
Плюс ко всему у меня есть еще одна афигенская идея =)
П.С. привет кодерам аверских движков.

 

[X-Shar]

Gen:Trojan.Heur.nGY@HD7t5ccc

Да это сигнатура андромеды, так-же как и BackDoor.Andromeda.22 у веба, это означает, что АВ всё-же прошёл по ветке и эмулировал код...

Но если этот метод в комплексе юзать с другими то не плохо может получиться ибо он затыкает достаточно много АВ по крайне-мере на VT, на запуск я не тестил...

А вообще если обойти бита, то АВ наверное десять уже автоматом слетят...

 

[denis7656]

А вообще если обойти бита, то АВ наверное десять уже автоматом слетят...

Самое интересное что
Gen:Trojan.Heur.nGY@HD7t5ccc
значит, что все что через крипт проходит (после крипта), он эмулирует (или сам код восстанавливает) =))0)))))))))))))))))))
че за нах =))))))))))

этовсе уиня.. обойдем всех, дело времени, если бы было оно...
только в универсал (криптор) все дело запихать - можно, но никому не нужно, мы ради интереса тут балакаем, а если софт делать.... Тут одному совсем хренова...
вот и балакаем о методах, которые срабатывают.
Кста, если хочешь, есть идея обхода ав (в паб лить не хочу т.к. сынки каспера тут наверняка глазами труться, судя по названию темы), очень четкая, могу слить или тебе или адму, сам не пробовал, но на всех наикрутейших печенюхах срабатывает...


кстати и не знаю, кто тут самый ахуЁнный админ. Антоха ? Да простит тогда меня он

 

[X-Shar]

Ну если хочешь это использовать, то в паб лучше ненадо...

Про аверов, незнаю есть они здесь, или нет, может и есть...

Но смысла мне кажется им нет бродить по форумам и сливать всякие методы обхода, ибо они используют куда более эффективные источники, типо-там облака и прочее, короче если вирус начнёт распространятся в массы, АВ всё-равно узнают об этом, а антивирус как-раз и нужен лишь для защиты от эпидемий или угроз которые распространяются в массы, от атак на конкретную систему неодин АВ незащитит, а вот от эпидемий защитит...

Что касается меня, то лично мне все эти методы не нужны, я этим занимаюсь сугубо из личного интереса, интересно мне устройство таких программ, только и всего, продавать крипторы и малварь я принципиально нехочу...

Пока работаю нескажу что много зарабатываю, но необходимости этим заниматься у меня нет, да-даже если работать не буду, тоже навряд-ли этим заниматься буду, поэтому ещё раз повторюсь, что для меня лично это как хобби, также как и этот ресурс...

Что касается барыг, то они здесь долго незадерживаются, ибо барыжить здесь запрещено, а чем-то делится они нехотят, по двум причинам (На выбор или вкомплексе):

1)Либо сами нехуя незнают, а таких большенство;

2)Либо просто нехотят раскрывать свои секреты, это можно понять, ибо для них это хлеб ! ;)

 

[X-Shar]

Ещё хочу добавить, если почитать посты профи, на разных ресурсах, т.е. тех-кто серьёзно занимается криптовкой малвари, все они утверждают что сам криптор-то нитак-уж и сложно сделать, НО поддерживать его куда сложнее, т.е. нужно понимать что стаб рано или поздно начнёт палится, а тут нужно быстро почистить стаб иначе будет потеря заказчиков...

К тому-же сам криптованный вирус должен обходить не только сканеры, но и нормально отрабатывать на запуск, кому нужны крипторы которые на VT да не палятся, зато запускать их невозможно, идёт детект при запуске, либо вообще крах файла из-за отсутствия длл-ки !

 

[Антоха]

кстати и не знаю, кто тут самый ахуЁнный админ. Антоха ? Да простит тогда меня он

Не понял=)?Хозяин ресурса вообще-то Олег ака X-Shar.
Да и меня все эти безделушки интересуют лишь в качестве образца для экспериментов.Как говорится-для общего развития.

 

[denis7656]

Не понял=)?Хозяин ресурса вообще-то Олег ака X-Shar.
Да и меня все эти безделушки интересуют лишь в качестве образца для экспериментов.Как говорится-для общего развития.

Буду знать что X-Shar'a зозувут Олег, просто по подписям под авой сразу не поймешь кто есть кто.
Насчет антидетекта - я тоже занимаюсь этим просто ради интереса, так скажем, для себя =)
и с другими делюсь, если что-то получается.

 

[denis7656]

немножко переписал функу для обхода двига АВ из поста
https://ru-sphere.ru/threads/antiehmuljacija-kto-cho-juzaet.2143/#post-115715

[HIDE=5]
Procedure BadProcedure;
begin
////ваш злой код
MessageBoxW(0, 'work', 'test', MB_OK);
end;

procedure avFuck;
var
pos1,pos2: TPoint;
dwResult: DWORD;
begin
GetCursorPos(pos1);
setcursorpos(pos1.X+1,pos1.Y+1);
GetCursorPos(pos2);
dwResult:=1;
dwResult:=dwResult-(pos2.X-pos1.X);
asm
mov eax, offset BadProcedure
add eax, dwResult
call eax
end;
end;
[/HIDE]

юзать так

[HIDE=5]
procedure TForm1.FormCreate(Sender: TObject);
begin
avFuck;
end;
[/HIDE]

 

[Bless]

Я не пойму, а зачем вы криптованные файлы на ВТ кидаете, пытаясь почистить криптор?)