Исходник простенького полиморфного криптора на си

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 578
Репутация
121
#1
"Polymorphic crypter" это полиморфный криптор исполняемых файлов.

Даже если криптануть один и тот же файл, на выходе после крипта будет получаться уникальный файл, что увеличивает шансы в противостоянии с антивирусами.

Например, если вы криптанули пару билдов стилера этим криптором, и один из билдов вдруг попал в антивирусные базы, то благодаря полиморфности криптора, второй билд останется чистым - антивирусы его палить не будут.

На основе данных исходников вы можете замутить свой собственный продвинутый криптор.

Пароль:111
 

Вложения

Zorgio

Житель форума
Форумчанин
Регистрация
09.12.2017
Сообщения
5
Skype
#2
И как его редактировать? Собирать ? Подскажите
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
429
Репутация
137
#3
И как его редактировать? Собирать ? Подскажите
Данный криптор хоть и старый но достаточно серьёзный.

Что он делает:

1. Генерирует уникальный стаб каждый раз (этим и достигается полиморфизм).
2. Присутствует мусорный код, рандомные инструкции. Короче морфит код.

Кто-то действительно постарался хорошо. :)

Как собрать ?

Вам нужно установить Visual studio C++ не ниже думаю 2009 - 2010, т.к. сам криптор 2009 года.

Далее как написанно в реадме (а там есть реадми):

CODE:
// компилируем с помощью MSVC, вам нужно будет трахаться с настройками проекта, чтобы получить правильную компиляцию.
// отключить оптимизацию и обработку исключений.
Что-бы было проще разобраться, вкратце:

1)main.cpp основной файл, там ищите такую функцию:
CODE:
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
Ну и раскуриваете постепенно эти функции:
CODE:
        PrepareFileDataForStub(szFile, &CryptedData);
        PrepareStubSectionsInfo(&CryptedData);
        DeleteFile("out.exe");
        BuildStub("out.exe", &CryptedData);
По хорошему там должен-быть гуй, в котором открываете файл, который нужно закриптовать:
CODE:
GetOpenFileName(&ofn)
Далее на выходе получите готовый криптованный файл:
CODE:
BuildStub("out.exe", &CryptedData);
Запуск файла в памяти там стандартный.

Ну и ещё бонус, куча крипторов, исходников:GitHub - malwares/Crypter: Windows Crypter

Можете там посмотреть также. :)
 

Zorgio

Житель форума
Форумчанин
Регистрация
09.12.2017
Сообщения
5
Skype
#4
Данный криптор хоть и старый но достаточно серьёзный.

Что он делает:

1. Генерирует уникальный стаб каждый раз (этим и достигается полиморфизм).
2. Присутствует мусорный код, рандомные инструкции. Короче морфит код.

Кто-то действительно постарался хорошо. :)

Как собрать ?

Вам нужно установить Visual studio C++ не ниже думаю 2009 - 2010, т.к. сам криптор 2009 года.

Далее как написанно в реадме (а там есть реадми):

CODE:
// компилируем с помощью MSVC, вам нужно будет трахаться с настройками проекта, чтобы получить правильную компиляцию.
// отключить оптимизацию и обработку исключений.
Что-бы было проще разобраться, вкратце:

1)main.cpp основной файл, там ищите такую функцию:
CODE:
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
Ну и раскуриваете постепенно эти функции:
CODE:
        PrepareFileDataForStub(szFile, &CryptedData);
        PrepareStubSectionsInfo(&CryptedData);
        DeleteFile("out.exe");
        BuildStub("out.exe", &CryptedData);
По хорошему там должен-быть гуй, в котором открываете файл, который нужно закриптовать:
CODE:
GetOpenFileName(&ofn)
Далее на выходе получите готовый криптованный файл:
CODE:
BuildStub("out.exe", &CryptedData);
Запуск файла в памяти там стандартный.

Ну и ещё бонус, куча крипторов, исходников:GitHub - malwares/Crypter: Windows Crypter

Можете там посмотреть также. :)
Что по детекту бедт после криптования?
Примерно
Или зависит от файла?
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
429
Репутация
137
#5
Что по детекту бедт после криптования?
Примерно
Или зависит от файла?
Будет детект в памяти, т.к. запуск в памяти там следующем образом:

1)Распаковывается файл в буфер;
2)Далее запуск в памяти как тут:PE-Crypter/runPE.h at master · jozemberi/PE-Crypter · GitHub

Т.е. создаётся новый процесс, далее наполняется этим буфером и передаётся управление, это вкратце.

Многие антивирусы как нод, касперский и Ко. Такое детектят при запуске, хотя скантайм будет чистый. Но можно вроде майкрософтский обойти этим.

Вообще попробуйте доработать это:Программа ИБ - Исходник простого криптора/протектора с антиэмуляцией на С++

Отличие что стаб там постоянный, но можно доработать как-раз из этого криптора взять мусорный код, рандомные инструкции и "фейковый импорт".

Думаю так проще, чем это пытаться собрать, т.к. там 100% работает. Ну-да криптовать можно только натив и x32.
 
Вверх