Ещё раз про джойнеры, крипторы, стабы и прочую хрень

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 607
Репутация
173
#1
Я тут создал новый достаточно серьёзный раздел в хак. категории и сейчас думаю наверное зря, т.к. крипторы которые в паблике быстро устаревают, буквально 2-3 дня и палятся уже всеми антивирусниками и становится уже к сожалению не так интересно, ну и это ещё не самое хреновое, хреново то-что искать новые крипторы здесь опять-таки навряд-ли кто-то будет и тем-более тестить их, может-быть пару человек только…

И как-бы тема не превратилась в унылый и никому не нужный копипаст…
В начале раздел хотел удалить, но потом решил, а почему-бы вместо крипторов не давать теоретический материал, а это различные статьи посвящённые этой проблеме, может-быть какие исходники крипторов, ну в общем инфа больше позновательного характера…

Возможно и это здесь мало кому интересно, но всяко лучше чем копипаст материала с ресурсов…

Итак давайте в начале разберёмся, а что-же такое крипторы, стабы и т.д. и вообще зачем они нужны…

Обо всём по порядку:

1) Что-же такое криптор и стаб и зачем нужно:

Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами. Крипторы можно разделить на 2 вида: хорошие и дерьмовые.

Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы. При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.

Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла. Но, как говорится, на каждую хитрую жопу найдется хуй с винтом — такие крипторы тоже со временем детектируются, и если автор не чистит свой продукт, то криптор перестает быть уникальным и посылается нахуй.

Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу ебанутости и многочисленности авторов таких творений, мы не будем отрываться от стаи.

Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается.

Т.е. надеюсь поняли отличия в первом случае шифруется код программы, и стаб расшифровывает уже команды программы, а во втором случае шифруется сам файл программы и расшифровывается тоже сам файл, ну и понятно, что второй тип криптора это не что иное как не нужное гавно, т.к. практически любой антивирусник спалит вирус при расшифровке ! ;)

Некоторые крипторы напрямую файл на диск не пишут, а запускают его из памяти, но это их не оправдывает, т.к. продвинутый антивирус словит это при запуске как нехуй делать.
В таких крипторах уникальность каждого закриптованного файла достигается разными стабами. Но такой подход весьма ограничен — в хороших криптах это всего-лишь код, и его можно сгенерировать, а со стабами в говно-крипторах уже сложнее, поэтому авторы чаще всего создают под каждого клиента отдельный стаб. Подход глуп до безобразия, ведь ежели спалится антивирусами один закриптованный файл — за ним полетят и все остальные.

С крипторами пока всё, идём дальше…

2)Что такое джойнеры и зачем нужно:

Джоинер (также биндер, joiner, binder) — программа для склеивания нескольких файлов (к примеру картинки в формате JPG и трояна в виде исполняемого файла EXE) в один контейнер. При запуске контейнер извлекает из себя файлы и запускает их.
Чаще всего джоинеры используются для маскировки запуска вредоносных программ. Простейший вариант использования описан выше — склеиваем фотографию с вирусом. В итоге жертва запускает контейнер, видит фотку, а тем временем запускается троян и делает свое дело.

Джоинеры бывают разные, крутые и не очень. Некоторые позволяют настраивать множество опций - куда контейнер будет извлекать файлы (иногда это важно), будет он запускать файлы скрыто или по-обычному (т.е. если программа имеет окна - при запуске они будут видны, в скрытом режиме запуска никаких окон видно не будет, даже если автором программы это было задумано) и т.д.

Также большинство джоинеров позволяет настраивать внешний вид контейнера — иконку, информацию о версии и т.п.

Все, абсолютно все джоинеры создают контейнеры в виде исполняемых файлов EXE. Т.е. вариант склеить изображение с трояном и получить файл jpg — невозможно. Данный вопрос периодически поднимается на форумах, но увы — решения нет. Также некоторые джоинеры позволяют создавать контейнеры с расширением scr, pif и com — но контейнер все-равно остается EXE'шником.

В некоторых джоинерах есть опция мелтинга, о ней стоит рассказать подробнее. Во многих случаях она очень полезна. Суть вот в чем: при создании контейнера мы выбираем один из склеиваемых файлов. При запуске контейнера файлы извлекаются и запускаются, как и положено. И если мелтинг был включен и один из склеиваемых файлов был выбран — при запуске контейнер заменит себя выбранным файлом.

Да, немного запутанно, на примере будет проще: склеиваем песенку с трояном, выбираем в настройках мелтинга файл песни, и для пущего эффекта прикрепим к контейнеру иконку аудио-файла. При запуске контейнер извлечет оба файла, запустит их и заменит себя песенкой.

Источник: По материалам фака от Вазонеза (vazonez.com)
 

BLONDY HACKER

:))
Форумчанин
Регистрация
07.12.2012
Сообщения
2 448
Репутация
10 874
#2
я руками, ногами и всеми другими частямиОтдыхай!!! ЗА развитие таких темwink1
 

xatop

old root
Форумчанин
Регистрация
13.03.2013
Сообщения
108
Репутация
359
#3
получить файл jpg — невозможно
зато все давно умеют юзать rarjpeg и что там в нем - часто могут лишь гадать. Но скачивают и распаковывают...даже без песочницы.
 

Антоха

Администратор
Администрация
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 265
#4
Эту "технологию" (в посте выше) используют и в антинубах.Размещая картинку в качестве пароля для архива.​
Для склеивания файлов помимо консольной команды,можно использовать самописные программки созданные для этого или же воспользоваться батникомДля склейки,достаточно лишь перетащить картинку и архив на этот батник.​
1.gif
Для извлечения скрытого файла,нужно скачать картинку и открыть её помощью вашего архиватора.​
[rarjpg]картинка.rar.jpg
Для тех,кто не смог достать батник из картинки:
CODE:
@echo off
if /I %~x1==%~x2 exit
if /I %~x1 NEQ .jpg (if /I %~x2 NEQ .jpg exit)
if /I %~x1 NEQ .rar (if /I %~x2 NEQ .rar exit)
if /I %~x1==.jpg (
copy /b %1+ %2 "%~d1%~p1[rarjpg]%~n1.rar.jpg"
) else (
copy /b %2+%1 "%~d2%~p2[rarjpg]%~n2.rar.jpg")
З.Ы.Всё это немного не по теме.К тому же обнаружил тему посвящённую этому на форуме.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 607
Репутация
173
#5
Наверное зря пишу, не знаю интересно-ли кому будет это здесь, но хочу поделится не плохими ссылками по теме, статьи есть как новые так и старые:

1)Классная статья от Вазонеза, можно узнать про сигнатурный анализ, всё разжёвано:https://fuckav.ru/showthread.php?t=609

2)Эта статья очень понравилась, реверсинг Авиры и способ обхода сигнатурного детекта:https://fuckav.ru/showthread.php?t=17907

3)Здесь читаем комменты пользователя Multik:https://fuckav.ru/showthread.php?t=15452 wink1

4)Прикольная прога от его-же, с класным названием "АВПИЗДА" Dmeh-Smeh-Smeh!!! https://fuckav.ru/showthread.php?t=15799
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
387
Репутация
1 156
#6
Наверное зря пишу, не знаю интересно-ли кому будет это здесь
Не знаю, кому, как, но мне очень интересна эта тема! Хотя знаний и опыта маловато, поэтому многое не понятно... Но ведь Истина в процессе, поэтому продолжу вникать в тонкости. С ключами тем и сообщений море, я вообще туда не захожу. Поэтому, не думай, что это никому не нужноWinkSmile
P.S. вы с Антохой, sm582398247как два сапога, пара, смотрю, находит на вас периодически нудьга - зачем я это делаю, и кому это надо... - Надо! Уверена, что не только мнеlike it
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 607
Репутация
173
#7
смотрю, находит на вас периодически нудьга
Так в том-то и дело, когда что-то интересно занимаешься чем-то, вкладываешь свою душу...

А потом оглядываешься и понимаешь, а зачем это нужно и для чего это вообще ?

И в этоге понимаешь что всё это фигня и реально мало кому нужно к сожалению или к счастью !My mind

Хотя наверное такое можно сказать про всё в нашей жизни !Отдыхай!!!

Вот и этот ресурс изначально создавал его для себя, не для кого-то, смысл-был отвлечься чем-то, было скажем так у меня не простое время, нужно было как отвлечься...

Ну был создан этот ресурс, далее что-то вообще затянуло и превратилось в хобби...

Далее зашло ещё более далеко, было затрачено ОЧЕНЬ много сил и даже денег на развитие этого проекта, я не знаю видно это или нет, реально очень много сил потратил...

А сейчас оглянулся назад и думаю, а нахуя, зачем ?Не въехал!!! Не въехал!!! O-O-O88

И ответа не нахожу !

В любом случае я конечно бросать проект не буду, всё-же и пользователи ресурса сейчас НЕМАЛЫЙ вклад внесли в развитие ресурса !

НО ЭТО НЕ КАКОЙ-ТО ВАРЕЗНЫЙ РЕСУРС, ДУМАЮ ЭТОТ ФОРУМ ЗАСЛУЖИВАЕТ БОЛЬШЕГО, НО ВОТ КАК ДАЛЬШЕ ЕГО РАЗВИВАТЬ Я ПОКА НЕ ЗНАЮ !

Хочется побольше всяких статей, обсуждений, развития может-быть даже разделов с общением, а что в разделах "Комната отдыха", "Фотки", "Творчество", тоже немало интересных тем, которые выкладывают посетители...

НО эти ключи вот мне реально тоже уже достали, они мне не интересны...

А удалить эти разделы с ключами немного страшно, что уменьшится посещалка сильно, т.к. больше половины пользователей приходят для ключей !

Вот и не понятно что делать !Не въехал!!!
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
387
Репутация
1 156
#8
Так в том-то и дело, когда что-то интересно занимаешься чем-то, вкладываешь свою душу...

А потом оглядываешься и понимаешь, а зачем это нужно и для чего это вообще ?

И в этоге понимаешь что всё это фигня и реально мало кому нужно к сожалению или к счастью !My mind

Хотя наверное такое можно сказать про всё в нашей жизни !Отдыхай!!!
Так вот же, важно осознать, что цель - иллюзорна, а смысл и Истина в самом процессе. Человеку комфортней быть в состоянии покоя, стабильности, постоянства, что близко по сути к состоянию трупа. Часто люди занимаются не своим делом, ходят на работу, которую ненавидят, тем самым, обрекая себя на несчастье. Жизнь очень коротка (многие зрелые люди с этим согласятся), чтобы делать то, что не любишь. Думаю, если ты был так увлечен созданием форума, то получал от этого удовольствие, радовался успехом. В этом же и есть весь смысл. Что-то я разумничалась... тормозить надоЯ творю!!!

Вот и этот ресурс изначально создавал его для себя, не для кого-то, смысл-был отвлечься чем-то, было скажем так у меня не простое время, нужно было как отвлечься...
У многих, видимо, бывают такие моменты... Кто-то свыше мне уже больше 10 лет дал "на подумать" о жизни и ее смысле, и не известно, сколько это будет продолжаться... Хорошо, когда можешь хотя бы предположить, когда закончится то, от чего хочется, как бы это помягче сказать... выть на луну.

Далее зашло ещё более далеко, было затрачено ОЧЕНЬ много сил и даже денег на развитие этого проекта, я не знаю видно это или нет, реально очень много сил потратил...
Лично я вижу, что с душой создавался форум, во многом видна хозяйская рука, одним словом, не для галочки.

Хочется побольше всяких статей, обсуждений, развития может-быть даже разделов с общением, а что в разделах "Комната отдыха", "Фотки", "Творчество", тоже немало интересных тем, которые выкладывают посетители...
Возможно, мое предложение будет принято за бред, но все же рискнуblush1 Я одно время подсела на игру онлайн в нарды, времени это очень много отнимало, сейчас столько, конечно, не готова на это тратить, но партейку, другую не отказалась бы сыграть. Это в то же время очень сближает, возможно, турниры устраивать. В шахматы люблю, играю плохо, но поучиться желание есть большое. Может, такого плана здесь сделать раздел. Конечно, не знаю, насколько это технически сложно, но, может, стоит попробовать?!...

НО эти ключи вот мне реально тоже уже достали, они мне не интересны...

А удалить эти разделы с ключами немного страшно, что уменьшится посещалка сильно, т.к. больше половины пользователей приходят для ключей !

Вот и не понятно что делать !Не въехал!!!
А зачем удалять?! Пусть себе существуют эти разделы, как неотъемлемая часть одного организма, никому ж не приходит в голову себе х*й руку отрезать, хотя... возможно, иногда это вариантbig010101
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
387
Репутация
1 156
#9
Извиняюсь, что нафлудила в предыдущем посте sr789 Исправляюсь:

Для меня эта инфа в данный момент очень актуальна. Кстати, у автора ролика на канале много всяких полезностей.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 607
Репутация
173
#10
Вверх