Исходники криптора на С++

AlexFanta · 06.10.2014

Тут вопрос гораздо гораздо глубже - ЯП, как и его версия это всего лишь средство достяжения цели - инструмент. Суть в том, чтобы понимать глубинные принципы работы криптора и антивирусного ПО в целом и в частности. На чем лучше писать? На том, на чем лучше всего получается. Ну а вопрос об актуальности крипторов.. он многогранен. Если вам побаловаться, то баловство всегда было в моде, если вам криптовать зверушек на потоке, то индустрия сильно ушла вперед и как мне кажется "одиночкам криптографам" стараться успеть запрыгнуть в "последний вагончик" особого смысла не имеет уже.

X-Shar · 06.10.2014

AlexFanta сказал(а):
индустрия сильно ушла вперед и как мне кажется "одиночкам криптографам" стараться успеть запрыгнуть в "последний вагончик" особого смысла не имеет уже.

Разумеется технологии не стоят на месте, но и если есть желание в этом расти тоже думаю не нужно сидеть сложа руки...

Всё это дело опыта/знаний причём какие-то знания можно самому получить, какие-то на хак. ресурсах, кстати до сех-пор есть актуальная инфа по крякингу, которая очень может пригодится в этом деле...

Я это к тому что в целом-то реально с этим разобраться, всё дело времени и желания, лично мне так "Поиграться"...

И ещё по моему мнению крипторы необходимы только-лишь когда цель массово распространить вреданос, т.е. если полиморф, у него-же будет практически разный всегда код-же ?

Это и нужно при массовом заражении, т.е. задетектели один, зато вероятность что другие не задетектят...

А вот если жертва конкретный человек, или организация то проще по моему мнению написать/заказать свой вирус под конкретные уже цели без всяких крипторов, к тому-же у крипторов много минусов:

1)Необходят проактивку;

2)Могут спалится при запуске, тот-же поведенческий детект;

3)Какие-то вирусы в принципе неподдаются криптованию

4)Сам вирус может глючить из-за криптования.

X-Shar · 13.10.2014

А крипторы на C++ Bulder 6 есть вообще в природе ?

Почему-то исходники в основном MS, Делфи, а эту среду игнорировали все, сейчас понятно что если какие-то новые проекты начинать, имею в виду не только крипторы а вообще в целом, то лучше наверное MS или QT...

Но пост не об этом, задумался я над Вашей фразой:

AlexFanta сказал(а):
если вам криптовать зверушек на потоке, то индустрия сильно ушла вперед и как мне кажется "одиночкам криптографам" стараться успеть запрыгнуть в "последний вагончик" особого смысла не имеет уже.

и склонен с ней согласится, если серьёзно заниматься, то там дофига-чего нужно знать, это всю жизнь можно потратить, короче респект кто в этом реально шарит...

Ещё я тут что-то задумался написать криптор именно на C++ Bulder 6 нравится мне эта среда разработки, в общем-то почти доделал, получилась раскриптовка и запуск в памяти, файлы вроде не карёжит, по крайне-мере делфийские точно и стаб маленький получился...

Сейчас доделываю антиэмуль, уже примерно на 80% готово, но там такой в общем-то примитивный уровень, сложнее всего было реализовать запуск в памяти, что-то запарился если честно... bam88

Не знаю как будут АВ обнаруживать, рискну предположить что какой-то процент всё равно будет детектить, но зато в отличие от Испанцев сами файлы карёжется не будут, гы-гы...

Вопрос в том нужно-ли его выкладывать в паблик, интересно-ли это кому будет здесь-нет ?

Отмечу что написано практически на классическом си, кроме одной процедуры которая как-раз и отвечать будет за антиэмуляцию, поэтому при желании можно перенести и на любую другую среду !

Мне просто нравится такие програмки писать, повышает настроение и квалификацию в кодинге, правда когда Bulder 6 начинает глючит настроение сразу портится но это не страшно, гы-гы ! Отдыхай!!!

X-Shar · 13.10.2014

А у меня ещё вопрос про "Полиморф", если кто знает ?

Это имеется в виду полиморфный стаб ?

Дело в том если криптовать разным ключом например, то код самого закриптованного вируса будет разный-же, но толку в этом мало если спалится стаб, а вот если-бы сделать полиморфным именно стаб ?

Кто-нить пробовал-нет, если-бы стаб расшифровывал как-то сам себя, а потом вирус ? Не въехал!!!

X-Shar · 13.10.2014

Не закончил ещё, но вот результат уже такой, крипт Андромеды:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Напомню, криптовать можно будет любой вирус ! Отдыхай!!!

X-Shar · 13.10.2014

Затихаю до завтра, короче если кому интересно хоть отпишите, нужно-ли развивать тему, иначе я доделаю, и больше поднимать эту тему не буду... WinkSmile

X-Shar · 14.10.2014

X-Shar сказал(а):
Затихаю до завтра, короче если кому интересно хоть отпишите, нужно-ли развивать тему, иначе я доделаю, и больше поднимать эту тему не буду...

Что-то никому не интересно, кстати понял почему C++ Bulder никто не юзал для создания крипторов !

Как я писал, что получился маленький стаб, но решил потестить на другом компе где не было этого билдера, как оказалось по умолчанию идёт подгрузка билдеровских библиотек, таких как rtl и прочее...

Короче нужно ещё эти длл-ки вместе с криптором кидать, иначе работать не будет...

Так-вот, что-бы их не кидать, нужно сделать так называемую статическую линковку, а из-за этого вес стаба увеличился аж до 200 килобайт, это очень много... NO-no!!!

Поэтому тут следующие пути решения:

1)Поднапрячься и уменьшить вес стаба, подключая и анализируя библиотеки вручную;
2)Оставить как есть, стаб 200 кб;
3)Оставить как есть динамический билд, в надежде что библиотеки будут;
4)Постовлять вместе с библиотеками;
5)Свой вариант... Отдыхай!!!

Исходники я сейчас выложу во вложение, пароль:111

Там как статическая сборка, которая работает на любом компе, так и динамическая...

Всё нормально работает, вирусы не карёжит, но антиэмуль там гамно...

Назовёте меня дураком, но закриптовал Андромеду и залил на ВТ, объясню почему и зачем:

1)У анонимных сканеров неправильный детект, а мне нужно было точно определить какие АВ детектят, а какие нет...

В качестве доказательства приведу сканер факав, у них мой вирус не детектят майкрософт и бит, а на ВТ детектят... Не въехал!!!

2)Даже если стаб и спалят, его всё-равно нужно переделывать и если переделать антиэмуль, то будет фуд, т.к. загрузчик который там почти уверен что не будут его добовлять в базы ! Hi-H-88

Вроде всё !

Ах-да, вот криптованная Андромеда:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вот сам стаб, на ВТ не стал лить:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

ja_far · 14.10.2014

Немогу понять пару вещей: нафига всетаки вирустотал, и второе - страшно представить что ты там заюзал что нужно 200 кб библиотек) мой то стаб на с++ был 18,5 Кб вот его бы до ума довести

X-Shar · 15.10.2014

ja_far сказал(а):
Немогу понять пару вещей: нафига всетаки вирустотал, и второе - страшно представить что ты там заюзал что нужно 200 кб библиотек) мой то стаб на с++ был 18,5 Кб вот его бы до ума довести

Ну я-же написал всё в предыдущем посте, но повторю:

1)Про вес:

Ты его запускал в системе где нет Borland и Delphi ?

Ещё раз повторяю C++ Bulder 6 подцепляет библиотеку rtl120.bpl которая весит больше метра, по умолчанию он не линкует его в экзешник, также как и другие библиотеки, а подцепляет их динамически, если глянете мой исходник с динамической компоновкой, то там вес стаба вообще 10-ть килобайт...

Так вот проблема, а если на компе пользователя нет этих библиотек, что-тогда, тогда стаб тупо не запуститься !

Именно поэтому многие Испанские крипторы крашаться кстати...

Ещё как пример нет фреймворк, файлики получаются очень маленькими из-за динамической подгрузки библиотек, но вот если у пользователя нет этого нет фреймворка, то программа не запуститься, также и здесь...

Если хочеш уменьшить вес нужно сделать следующее:

1)Разобраться с линковкой и паковать только нужные дллки, я не стал с этим возится, т.к. нехочу...
2)Переписать на MS, код у меня классический си, менять практически ничего не нужно...
3)Разобраться с компилятором, может в настройках как-то можно сделать, я не знаю...

З.Ы. С какой целью так все пекутся про вес ?

Ну весит 200 кб и что ? Ну с вирусом + склейка будет в районе 500 и что ? Думаете жертва будет на это смотреть ? Отдыхай!!!

Ладно для микрокконтроллеров писать, там ограничение самого контроллера по памяти и длине кода, а тут-то что ?

Я вон в QT собрал экзешник вообще гигабайт весил, гы-гы, кстати если там вирус сделать, рискну предположить что не один АВ так и не задетектит, правда как потом распространять вирус с размером в гиг ! Dmeh-Smeh-Smeh!!!

Теперь про вирустотал:

1)На анонимных сканерах не всегда отображается верно детект, в частности если брать факкав и мой криптор, то там недетектит бит и MS, а на VT детектят, мне хотелось точно определить детект;

2)Я хотел посмотреть на "Знаменитый" кихо, как видите пропускает... Dmeh-Smeh-Smeh!!!

3)Как я уже написал ничего страшно не будет, даже если будут детектить стаб, т.к. если будете дорабатывать то детект слетит и будет фуд, незнаю как на запуск... sm3888

4)В этом крипторе нет приватных шеллов, да и вообще шеллов нет, антиэмули 2010 года, короче то-что уже есть в паблике + то-что задумал сам, к тому-же этот криптор написан мной неоткуда не скопирован и думаю что имею право выкладывать на ВТ...

Чужие-же крипторы и вирусы я принципиально на ВТ не лью, как-то так ! WinkSmile

ja_far · 15.10.2014

все мои проги на делфи спокойно работают на любой винде от ХР до 8.1, и без самого делфи, просто надо юзать стандартные системные библиотеки

Обратная связь

(info@ru-sfera.pw)

Важная информация для всех!

Исходники криптора на С++

Нужн ли исходники крипторов, даже старых?

Да

Нет

AlexFanta

Гость

X-Shar

:)

X-Shar

:)

X-Shar

:)

X-Shar

:)

X-Shar

:)

X-Shar

:)

Вложения

ja_far

Уважаемый пользователь

X-Shar

:)

ja_far

Уважаемый пользователь