• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Исходник простенького полиморфного криптора на си (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 384
Репутация
7 877
Telegram
"Polymorphic crypter" это полиморфный криптор исполняемых файлов.

Даже если криптануть один и тот же файл, на выходе после крипта будет получаться уникальный файл, что увеличивает шансы в противостоянии с антивирусами.

Например, если вы криптанули пару билдов стилера этим криптором, и один из билдов вдруг попал в антивирусные базы, то благодаря полиморфности криптора, второй билд останется чистым - антивирусы его палить не будут.

На основе данных исходников вы можете замутить свой собственный продвинутый криптор.

Пароль:111
 

Вложения

Zorgio

Житель форума
Форумчанин
Регистрация
09.12.2017
Сообщения
5
Skype
И как его редактировать? Собирать ? Подскажите
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
221
И как его редактировать? Собирать ? Подскажите
Данный криптор хоть и старый но достаточно серьёзный.

Что он делает:

1. Генерирует уникальный стаб каждый раз (этим и достигается полиморфизм).
2. Присутствует мусорный код, рандомные инструкции. Короче морфит код.

Кто-то действительно постарался хорошо. :)

Как собрать ?

Вам нужно установить Visual studio C++ не ниже думаю 2009 - 2010, т.к. сам криптор 2009 года.

Далее как написанно в реадме (а там есть реадми):

Код:
// компилируем с помощью MSVC, вам нужно будет трахаться с настройками проекта, чтобы получить правильную компиляцию.
// отключить оптимизацию и обработку исключений.
Что-бы было проще разобраться, вкратце:

1)main.cpp основной файл, там ищите такую функцию:
Код:
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
Ну и раскуриваете постепенно эти функции:
Код:
        PrepareFileDataForStub(szFile, &CryptedData);
        PrepareStubSectionsInfo(&CryptedData);
        DeleteFile("out.exe");
        BuildStub("out.exe", &CryptedData);
По хорошему там должен-быть гуй, в котором открываете файл, который нужно закриптовать:
Код:
GetOpenFileName(&ofn)
Далее на выходе получите готовый криптованный файл:
Код:
BuildStub("out.exe", &CryptedData);
Запуск файла в памяти там стандартный.

Ну и ещё бонус, куча крипторов, исходников:GitHub - malwares/Crypter: Windows Crypter

Можете там посмотреть также. :)
 

Zorgio

Житель форума
Форумчанин
Регистрация
09.12.2017
Сообщения
5
Skype
Данный криптор хоть и старый но достаточно серьёзный.

Что он делает:

1. Генерирует уникальный стаб каждый раз (этим и достигается полиморфизм).
2. Присутствует мусорный код, рандомные инструкции. Короче морфит код.

Кто-то действительно постарался хорошо. :)

Как собрать ?

Вам нужно установить Visual studio C++ не ниже думаю 2009 - 2010, т.к. сам криптор 2009 года.

Далее как написанно в реадме (а там есть реадми):

Код:
// компилируем с помощью MSVC, вам нужно будет трахаться с настройками проекта, чтобы получить правильную компиляцию.
// отключить оптимизацию и обработку исключений.
Что-бы было проще разобраться, вкратце:

1)main.cpp основной файл, там ищите такую функцию:
Код:
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
Ну и раскуриваете постепенно эти функции:
Код:
        PrepareFileDataForStub(szFile, &CryptedData);
        PrepareStubSectionsInfo(&CryptedData);
        DeleteFile("out.exe");
        BuildStub("out.exe", &CryptedData);
По хорошему там должен-быть гуй, в котором открываете файл, который нужно закриптовать:
Код:
GetOpenFileName(&ofn)
Далее на выходе получите готовый криптованный файл:
Код:
BuildStub("out.exe", &CryptedData);
Запуск файла в памяти там стандартный.

Ну и ещё бонус, куча крипторов, исходников:GitHub - malwares/Crypter: Windows Crypter

Можете там посмотреть также. :)
Что по детекту бедт после криптования?
Примерно
Или зависит от файла?
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
221
Что по детекту бедт после криптования?
Примерно
Или зависит от файла?
Будет детект в памяти, т.к. запуск в памяти там следующем образом:

1)Распаковывается файл в буфер;
2)Далее запуск в памяти как тут:PE-Crypter/runPE.h at master · jozemberi/PE-Crypter · GitHub

Т.е. создаётся новый процесс, далее наполняется этим буфером и передаётся управление, это вкратце.

Многие антивирусы как нод, касперский и Ко. Такое детектят при запуске, хотя скантайм будет чистый. Но можно вроде майкрософтский обойти этим.

Вообще попробуйте доработать это:Программа ИБ - Исходник простого криптора/протектора с антиэмуляцией на С++

Отличие что стаб там постоянный, но можно доработать как-раз из этого криптора взять мусорный код, рандомные инструкции и "фейковый импорт".

Думаю так проще, чем это пытаться собрать, т.к. там 100% работает. Ну-да криптовать можно только натив и x32.
 

Lamgarder

Житель форума
Форумчанин
Регистрация
11.07.2020
Сообщения
3
@virt, а где можно найти хорошего криптора? Кто бы закриптовал простенький стиллер, чтобы не было детекта при запуске
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
221
@virt, а где можно найти хорошего криптора? Кто бы закриптовал простенький стиллер, чтобы не было детекта при запуске
Я комерсом не занимаюсь, поэтому вопрос не по адресу думаю.)

Но если-бы занимался, то писал-бы свой стиллер и чистил-бы его.

Как чистить ?

Тут-бы делал/искал/заказывал морфер исходных кодов, либо генераторы различного мусора, что-бы вручную не чистить.
Но это мой взгляд, может кто-то по другому делает, крипторы хороши для уменьшения детекта, т.е. стойкости зверька при распространении, но сейчас в 2020 году, они бесполезны для сбития детекта, я-бы их использовал именно для уменьшения времени детекта, нежели "чистки зверька".)
 

Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35
@virt, а где можно найти хорошего криптора? Кто бы закриптовал простенький стиллер, чтобы не было детекта при запуске
Рантайм-детекты тебе ни один криптор не уберёт. К примеру: тот же аваст кидает детект на открытие бд хрома с паролями (Passwords Protection, модуль в прем. версии аваста/авг). Криптором такой детект никак не обойти.
 

Lamgarder

Житель форума
Форумчанин
Регистрация
11.07.2020
Сообщения
3
Я комерсом не занимаюсь, поэтому вопрос не по адресу думаю.)

Но если-бы занимался, то писал-бы свой стиллер и чистил-бы его.

Как чистить ?

Тут-бы делал/искал/заказывал морфер исходных кодов, либо генераторы различного мусора, что-бы вручную не чистить.
Но это мой взгляд, может кто-то по другому делает, крипторы хороши для уменьшения детекта, т.е. стойкости зверька при распространении, но сейчас в 2020 году, они бесполезны для сбития детекта, я-бы их использовал именно для уменьшения времени детекта, нежели "чистки зверька".)
А что тогда используется для "чистки зверька"?
 

Lamgarder

Житель форума
Форумчанин
Регистрация
11.07.2020
Сообщения
3
Рантайм-детекты тебе ни один криптор не уберёт. К примеру: тот же аваст кидает детект на открытие бд хрома с паролями (Passwords Protection, модуль в прем. версии аваста/авг). Криптором такой детект никак не обойти.
То есть не существует возможности получить нулевой рантайм-детект?