Малварь как искусство Пермутация исполняемого файла (Build Polychaos x86)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 689
Репутация
219
Jabber
Telegram
#1
Собрал движок пермутации исполняемых файлов x86:https://github.com/DarthTon/Polychaos

Что он делает:

1)Изменение пути веток условных переходов.

2)Заменяет известные инструкции.

3)Создает мусор.

4)Рандомизирует положение инструкции.

Полезно перед криптом файлов, для обхода детекта в памяти.

Подводные камни, как-же без них:
  1. Работает не со всеми PE.
  2. Может упасть во время работы.
  3. Т.к. движок писался еще в доисторические времена самим Зомбой (29А), нефакт что это вообще работает на современных зверьках, но попробовать можно.)))
Как использовать:

1)Копируете exe, который нужно мутировать в папку с PolychaosConsole.exe

2)Запускаете Start.cmd.

3)В консоле пишите "PolychaosConsole.exe my_exe".

4)Если программа отработала, то получите mutated_my_exe.

Скачать можно тут:https://github.com/XShar/Build-Polychaos-x86
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
60
Репутация
3
#2
Вообщем протестировал я данный движек и могу сказать что у меня не получилось с помощье него пермутировать не один из тестируемых мной PE файлов.
Движек постоянно ссылаеться на исключения.
Например вот такое исключение я получил при обработке стиллера азор
Код:
Exception!
Invalid code pointer at offset 120584
И так с каждым из тестируемых мной файлов только адреса смещения разные.
Возможно это связано с тем что файлы которые я тестировал написаны на Делфи а движек работаеть только с С. Вообщем если получиться пермутировать хоть один файл я обезательно напишу но хотелось бы услышать как побороть исключение при обработки азора?
 
Последнее редактирование:

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
60
Репутация
3
#3
Вообщем стал указывать обсолютный путь до файла который хочу обработать (при том что файл в одной папке с движком) в итоге опять получаю исключение на этот раз такое
Код:
Exception!
IMAGE_DOS_HEADER signature is incorrect
Мне одного не понятно в чем его проблема прочитать таблицу импорта?
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 689
Репутация
219
Jabber
Telegram
#4
Сам себя вроде мутирует, видно работает только с простнькими pe, либо ассемблерными бинарниками.
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
60
Репутация
3
#5
Сам себя вроде мутирует, видно работает только с простнькими pe, либо ассемблерными бинарниками.
Так что вы мне посоветуйте сделать? Уж очень хочеться пермутировать азор.

Подсунул ему файл размером 36 кб результат выше(((
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
60
Репутация
3
#6
Сам себя вроде мутирует, видно работает только с простнькими pe, либо ассемблерными бинарниками.
Может конвертировать pe файл в ассамблерный код и попробовать скормить движку сорец?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 689
Репутация
219
Jabber
Telegram
#7
Может конвертировать pe файл в ассамблерный код и попробовать скормить движку сорец?
Так он так и делает автоматически, находит секцию кода и дизасемблирует её, далее находит известные инструкции и меняет их, можно самому в отладчике оледбг такое-же делать...

Вообще сейчас тоже проверил нерабочий он какой-то, мутирует только сам себя.

Видимо неактуально сейчас и нужно переделывать.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 689
Репутация
219
Jabber
Telegram
#8
Может конвертировать pe файл в ассамблерный код и попробовать скормить движку сорец?
В крипторе получилось сделать мутацию, в следующих версиях для x86 будет добавлено.)))

Я получил указатель на секцию кода и скормил его в движок от Зомбы, инструкции поменялись и файлик непокрашился, т.е. был запуск в памяти.)))
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 689
Репутация
219
Jabber
Telegram
#9
Вернее сделаю простенький движок, который будет делать мутацию, и добавлю его к криптору также.
 

Edith Wooten

Житель форума
Форумчанин
Регистрация
17.04.2019
Сообщения
50
Репутация
3
#10
этот проект работает хоть как то в 2013 студии
 
Вверх