Малварь как искусство Пермутация исполняемого файла (Build Polychaos x86)

[X-Shar]

Собрал движок пермутации исполняемых файлов x86:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Что он делает:

1)Изменение пути веток условных переходов.

2)Заменяет известные инструкции.

3)Создает мусор.

4)Рандомизирует положение инструкции.

Полезно перед криптом файлов, для обхода детекта в памяти.

Подводные камни, как-же без них:

1. Работает не со всеми PE.
2. Может упасть во время работы.
3. Т.к. движок писался еще в доисторические времена самим Зомбой (29А), нефакт что это вообще работает на современных зверьках, но попробовать можно.)))

Как использовать:

1)Копируете exe, который нужно мутировать в папку с PolychaosConsole.exe

2)Запускаете Start.cmd.

3)В консоле пишите "PolychaosConsole.exe my_exe".

4)Если программа отработала, то получите mutated_my_exe.

Скачать можно тут:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[HopefuLXakir]

Вообщем протестировал я данный движек и могу сказать что у меня не получилось с помощье него пермутировать не один из тестируемых мной PE файлов.
Движек постоянно ссылаеться на исключения.
Например вот такое исключение я получил при обработке стиллера азор

Скопировать в буфер обмена

Exception!
Invalid code pointer at offset 120584

И так с каждым из тестируемых мной файлов только адреса смещения разные.
Возможно это связано с тем что файлы которые я тестировал написаны на Делфи а движек работаеть только с С. Вообщем если получиться пермутировать хоть один файл я обезательно напишу но хотелось бы услышать как побороть исключение при обработки азора?

 

[HopefuLXakir]

Вообщем стал указывать обсолютный путь до файла который хочу обработать (при том что файл в одной папке с движком) в итоге опять получаю исключение на этот раз такое

Скопировать в буфер обмена

Exception!
IMAGE_DOS_HEADER signature is incorrect

Мне одного не понятно в чем его проблема прочитать таблицу импорта?

 

[X-Shar]

Сам себя вроде мутирует, видно работает только с простнькими pe, либо ассемблерными бинарниками.

 

[HopefuLXakir]

Сам себя вроде мутирует, видно работает только с простнькими pe, либо ассемблерными бинарниками.

Так что вы мне посоветуйте сделать? Уж очень хочеться пермутировать азор.

только с простнькими pe

Подсунул ему файл размером 36 кб результат выше(((

 

[HopefuLXakir]

Сам себя вроде мутирует, видно работает только с простнькими pe, либо ассемблерными бинарниками.

Может конвертировать pe файл в ассамблерный код и попробовать скормить движку сорец?

 

[X-Shar]

Может конвертировать pe файл в ассамблерный код и попробовать скормить движку сорец?

Так он так и делает автоматически, находит секцию кода и дизасемблирует её, далее находит известные инструкции и меняет их, можно самому в отладчике оледбг такое-же делать...

Вообще сейчас тоже проверил нерабочий он какой-то, мутирует только сам себя.

Видимо неактуально сейчас и нужно переделывать.

 

[X-Shar]

Может конвертировать pe файл в ассамблерный код и попробовать скормить движку сорец?

В крипторе получилось сделать мутацию, в следующих версиях для x86 будет добавлено.)))

Я получил указатель на секцию кода и скормил его в движок от Зомбы, инструкции поменялись и файлик непокрашился, т.е. был запуск в памяти.)))

 

[X-Shar]

Вернее сделаю простенький движок, который будет делать мутацию, и добавлю его к криптору также.

 

[Edith Wooten]

этот проект работает хоть как то в 2013 студии