• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Исходник простенького полиморфного криптора на си


Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35
То есть не существует возможности получить нулевой рантайм-детект?
Криптованием - нет. На нативе в общем-то в общем сложновато фуд рантайм сделать. Рекомендую посмотреть в сторону powershell
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
Еще раз повторю, имхо криптование сейчас нужно только в двух случаях:

1. Сбить статик детект.
2. Уменьщить время наложения детекта, это достигается усложнением исследования зверька, либо невозможности распаковки автоматикой.)

А так хорошо, если есть сорцы, можно чистить сорцы и менять их всяко.)
 

Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35
Сорцы чистить можно. Не лучше ли написать криптор loapPe и при каждой дешифровке данных в памяти дизасемить после морфить и запустить в памяти? Т.е. каждая сигнатура кода будет уникальной. Если иметь фанатазию и прямые руки, то можно сделать так, чтоб детект на долго не было

И да, рад приветствовать всех)
Ну да, тогда не забываем сразу написать морфер для морфера и для него ещё один морфер...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
Начал читать справочник по масму, могу сказать, что в асме можно реально круто морфить код на уровне сорцов
К сожалению вынужден вас разочеровать, антивирусы сейчас уже не такие тупые и они эмулируют код, а не детектят по сигнатурам, да морфить код можно, но это мало эффнктивно сейчас, вот можете глянуть, я даже это делал в крипторе, вот сам морфер:

А вот криптор, он там используется:

Есть еще проект полихаус, который морфит код, мусор добовляет и еще много чего.

Но еще раз повторюсь, это все уже мало актуально.

В целом конечно это круто, но не все так круто, в плане детектов.)))
 

Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35
т.е. чтобы со временем снижать рантайм (если он высокий стал) прост нужно код морфить?
"прост нужно код морфить" - как же это просто звучит, без понимания сути. Допустим, условный дефендер через какое-то время стал детектить, что твоя тулза создаёт файлик в папке %temp%, пишет туда "malware" и творит всякие непотребства. Что ты будешь морфить в своём исходнике, чтобы убрать детект? Сколько постов твоих не читал, везде считаешь, что морфинг кода - лекарство от всех болезней.
 

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
Ок, го в рантайем генерировать рандом имя файла и выбирать рандом папку. Так можно детект убрать
морфинг - не лекарство от чумы.
Если было бы так просто cool cool Тебе сигнатуру сделают и на рандомные действия, для подобных похожих питомцев.
 

Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35
ок, а что ты тогда предлагаешь?
А обойти можно создавая в другой директории, под другим именем. Ок, го в рантайем генерировать рандом имя файла и выбирать рандом папку. Так можно детект убрать
морфинг - не лекарство от чумы. Но облегчит процесс чистки. А еще для чего нужен морфер, м?
Хорошо, спрошу по другому. Какие детекты в рантайме ты хочешь убрать просто обфусицировав код?
 
Последнее редактирование:

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
А я говорю о рантайме (проактивка), когда авер палит, когда ты делаешь то, или иное действие.
У меня вопрос как ты снимешь детект при обращении явно к реестру к ключам-паролям-печенькам программ для стилака.
Морфинг-неморфинг неважно, это явное зловредное действие у ПО и это никак не скрыть. Ты можешь захэшировать но это детектируется тоже. От рантайма не всегда скроешься...
 
Верх Низ