• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Малварь как искусство Полиморфный генератор мусора (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Я переделаю, там по мимо этого бага, есть ещё то-что инструкции не исполняются, а только генерируются и из-за этого смысла в этом движке нет. :(

Правда незнаю когда.
Вы ошибаетесь смысл как раз есть. Допустим у меня данный движек даже без ассамблерных инструкций убрал ген детекты в проекте и за счет смещения кода убрал даже детект eset. Так что пожалуйста переделывайте по быстрее так как движек реально полезный! Вы вообще хорошее дело делайте все модули в вашем крипторе реально полезные. Спасибо вам! Кстати как вам идея сделать реализацию вашего криптера с LoadPE вместо RunPE? Могу исходы подкинуть если надо)
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
222
Кстати как вам идея сделать реализацию вашего криптера с LoadPE вместо RunPE? Могу исходы подкинуть если надо)
А что это даст ?

Просто LoadPE какой-то нестабильный был, там-бы и криптор переделать, можно разные методы запуска например сделать...

Крипт длл, ещё можно сделать, но лучше отдельным проектом.
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
А что это даст ?

Просто LoadPE какой-то нестабильный был, там-бы и криптор переделать, можно разные методы запуска например сделать...

Крипт длл, ещё можно сделать, но лучше отдельным проектом.
Рантайм снизит. Просто вы в своем runpe юзаете функции на которые некоторые аве ставят хуки. Либо надо runpe переделать либо заменить на loadpe.
там-бы и криптор переделать, можно разные методы запуска например сделать...
А как вам идея добавить anti-hook для разных аве? Темболие методы реализации уже есть https://github.com/NtRaiseHardError/AntiHook
https://0x00sec.org/t/defeating-userland-hooks-ft-bitdefender/12496
А что это даст ?

Просто LoadPE какой-то нестабильный был, там-бы и криптор переделать, можно разные методы запуска например сделать...

Крипт длл, ещё можно сделать, но лучше отдельным проектом.
Можно еще попробывать реализовать инжект методом Atom Bombing.
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
222
Гляну атом-бомбинг.

@Jefferson, а ты как запускаешь ?

Как в примере, там шелл какой-то странный:
Код:
g_FunctionPointers.pfnGetProcAddress = GetProcAddress;
g_FunctionPointers.pfnLoadLibraryA = LoadLibraryA;
fix_esp();
shellcode_entry();
dummy();
Сам код не запускал, но смущают:
Код:
fix_esp();
shellcode_entry();
Зачем всё это ?

Он в маин хоть заходит в примере ?)
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
222
Криптор если переделывать и если делать более-менее нормально, вот с этим хочу разобраться, вместо этого движка:https://github.com/vxlabinfo/malware/blob/master/xtg21/xtg_ru.txt

Как понимаю, можно воспользоваться движками.)
 

Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35
Криптор если переделывать и если делать более-менее нормально, вот с этим хочу разобраться, вместо этого движка:https://github.com/vxlabinfo/malware/blob/master/xtg21/xtg_ru.txt

Как понимаю, можно воспользоваться движками.)
Как мне кажется, все эти движки - прошлый век))
Проще и эффективней использовать замусоривание кода на уровне исходников (с помощью пре-процессора, к примеру)
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
222
Как мне кажется, все эти движки - прошлый век))
Ну если хороший движок, почему-бы его и не использовать, чем писать свой, ну либо совмещать...)

Там-же он специально написан на ассемблере, т.к. может по разному генерировать код:

[+] генерация x86 инструкций/конструкций (множество вариантов);
[+] генерация fpu/mmx/sse инструкций;
[+] генерация данных (строк, чисел);
[+] генерация команд по маске;
[+] генерация "правильного" кода:

x правильный;
x реалистичный;
x антиэвристический;
x антиэнтропийный;
x статистика частот встречаемости опкодов;
x логика построения трэш-кода (новая фича!);

[+] генерация функций (те, что с прологами, эпилогами etc);
[+] генерация винапи фунок;
[+] запись "полезного" кода вместе с трэш-кодом;

Как такое сделать макросами, макросы всегда-же были...)))

Ну или там ещё полиморфные декрипторы есть, прикольные:

МУЛЬКИ:

[+] генерация полиморфного декриптора и шифрование нужного кода;
[+] реалистичный (стартовый) декриптор;
[+] генерация рэндомных регистров;
[+] генерация рэндомных ключей для шифровки/расшифровки;
[+] различный размер декриптора (задаётся);
[+] команды декриптора имеют "синонимы";
[+] меняется порядок расположения между некоторыми командами;
[+] меняется порядок вызова между некоторыми командами;
[+] использование ГСЧ и Трэшгена (охуительная тема + logical trash tech);
[+] несколько алгоритмов шифрования/расшифрования (add/sub/xor);
[+] использование плавающего (ака скользящего) ключа;
[+] мультидекрипторность;
[+] базонезависимость
[+] самостоятельный самодостаточный движок; нет привязки к другим моторам (но есть жёсткие условия);
[+] без дельта и данных - только чистый код; отлично подходит для мутации;
[+] не юзает winapi;

Я не практик, но мне кажется сами крипторы устарели, а конкретно расшифровка в памяти и запуск процесса, т.к. антивирусы это монеторят, т.е. перед стартом процесса, он проверяется антивирусом.

Эти-же движки актуальны, для скрытия кода, почему-бы и нет, минус только что для x64 переписывать нужно, ну и ассемблер, надо тестить, как будет работать, пока руки не дошли...)))
 

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
24
Ну если хороший движок, почему-бы его и не использовать, чем писать свой, ну либо совмещать...)

Там-же он специально написан на ассемблере, т.к. может по разному генерировать код:

[+] генерация x86 инструкций/конструкций (множество вариантов);
[+] генерация fpu/mmx/sse инструкций;
[+] генерация данных (строк, чисел);
[+] генерация команд по маске;
[+] генерация "правильного" кода:

x правильный;
x реалистичный;
x антиэвристический;
x антиэнтропийный;
x статистика частот встречаемости опкодов;
x логика построения трэш-кода (новая фича!);

[+] генерация функций (те, что с прологами, эпилогами etc);
[+] генерация винапи фунок;
[+] запись "полезного" кода вместе с трэш-кодом;

Как такое сделать макросами, макросы всегда-же были...)))

Ну или там ещё полиморфные декрипторы есть, прикольные:

МУЛЬКИ:

[+] генерация полиморфного декриптора и шифрование нужного кода;
[+] реалистичный (стартовый) декриптор;
[+] генерация рэндомных регистров;
[+] генерация рэндомных ключей для шифровки/расшифровки;
[+] различный размер декриптора (задаётся);
[+] команды декриптора имеют "синонимы";
[+] меняется порядок расположения между некоторыми командами;
[+] меняется порядок вызова между некоторыми командами;
[+] использование ГСЧ и Трэшгена (охуительная тема + logical trash tech);
[+] несколько алгоритмов шифрования/расшифрования (add/sub/xor);
[+] использование плавающего (ака скользящего) ключа;
[+] мультидекрипторность;
[+] базонезависимость
[+] самостоятельный самодостаточный движок; нет привязки к другим моторам (но есть жёсткие условия);
[+] без дельта и данных - только чистый код; отлично подходит для мутации;
[+] не юзает winapi;

Я не практик, но мне кажется сами крипторы устарели, а конкретно расшифровка в памяти и запуск процесса, т.к. антивирусы это монеторят, т.е. перед стартом процесса, он проверяется антивирусом.

Эти-же движки актуальны, для скрытия кода, почему-бы и нет, минус только что для x64 переписывать нужно, ну и ассемблер, надо тестить, как будет работать, пока руки не дошли...)))
Так получается для таких проектов лучше всего использовать асм? Просто я привык к плюсам, но хочу попробовать все таки проекты криптовок писать на си чистом. А тут я как понял лучше уже на асме писать такое. Но блин полностью на асме нихрена не читабельно, особенно если к проекту возращаешься через месяц, все забудешь нахрен. Или в исходниках будет переизбыток NOTE: , HACK: а если еще ньюби в асме то и FIXME: с BUG: смех-смех!!!