В данный момент паблик криптор!

[p.r.o]

Название криптора CODESPOILERR.

В данный момент выложен для ознакомления, с согласием автора данного продукта.
Криптор статичный, к стабу 1кб, криптует на наш взгляд ВСЕ, если вы заметите какие либо неполадки или неработоспасобность на каких то системах или каких то exe, описывайте в данном топике либо в 558oo855.
Продукт будет развиваться бесплатно до поры до времени.
Ожидается также выпуск полиморф криптора и джойнера.

Криптор вы можете скачать [CodeHider]
Следите за обновлениями.
В момент высадки криптора 1/20 - Avast! Win32:Malware-gen

Уважаемые мемберы форума, не забываем писать ваше мнение, пожелание...

С уважением p.r.o

 

[G100M]

Скепсис уместен.
Реверсните пожалуйста.

 

[Sunzer]

Отзывы с какепа: http://forum.xakep.ru/m_1632948/tm.htm

Sunzer:

Посмотрел поверхностно, криптор чист все ок.
Закриптовал пинча. В целом все хорошо. Но скажу сразу, лучше пиши что бы код не был в стеке, иначе с DEP работать не будет. Так же можно было бы попроще все это реализовать. Зачем побойтово ставишь атрибуты для памяти?
Интересно находишь базу kernel32.dll, но этот способ не везде будет работать, я проверял. Самое хорошое это доставать адрес из стека и брутить на MZ сигну. Проверенный способ, тестировался с windows 2000 по windows 7 лично мной.

Flint_ta:

Минусы:
- Точка входа не в первой секции - не айс!
- Size Of Code, Size Of Init Data, Base Of Code, Base Of Data = 0, это очень не понравится авире.
- Виртуальный размер последней секции некорректен.
- Оригинальный импорт остается.
- Выполнение кода в стэке.
- Статичный стаб.

Но, в целом, для начала очень неплохо, радует что написано не на VB, и как мне кажется, это не содрано с чужих сорцев.

P.S. сохранил криптор в коллекцию, под номером 277

 

[Beaten_Sect0r]

хорошо запустился в wine =)

 

[Грот]

скорее всего авира и палит по тому что Base Of Code, Base Of Data
равны 0

ну на данный момент DEP не реагирует что стек начинает работает не по назначению
ну и то что виртуальный размер не выровнен по SectionAlignment
а это 1000

 

[KraZz]

Прочитал топеги, улыбнула ошибка Флинта с первой секцией и дальше сразу же Motorcode про нее же отжег %)))
Вообще прочитафф напомнило фразу «бодрячком пацанчеки, бодрячком держитесь»
Вот читаю про крипт пинча – но ведь тупо даже гугл скажет, что ImageBase если будет равен 0x1314, то как там не шифруйся часть аверофф все равно кричать будут
И вообще мне бы так перла фортуна.. отослал, а они все улыбаясь сказали все гуд братан
В реале все соффсем не так, ты просто возьми криптани пинча и отправь на virustotal.com и даже не бойся на таком этапе как твой криптор, дятлы внимание даже не обратят – ИМХО, а вот то, что больше добротной половины AV ахтунг кричать будут. У мну что-то, сомнений нет
А вот опыт и самооценку ты сразу увидишь свою – ИМХО
Ты постарайся одно понять, что тестируя на гуано-сайтеках с 20 AV, это не то, что на virustotal
Ведь чел, которому впаривают заранчика накрытого твоим криптором, не будет за деньги регацца и платить деньги за проверку
Он тупо его пошлет на virustotal где будет ужас!
Если ты ИСКРЕННЕ ХОЧЕШЬ ПОВЫСИТЬ СВОЙ УРОВЕНЬ КОДИНГА по написания крипторов, то тести только на virustotal так ты точно знать будешь что ты РЕАЛЬНО В ТЕМЕ(да это и в тоже время азарт/игра интеллектуальные их(дятлов) очень много с разных контор, а ты адын) – ИМХО
Тестируя свой криптор на гуано-сервисах ты наёпываешь сам себя!
Для примера - ты заявляешь всем своим друзьям, что бросил курить.., но когда их нет, ты с радостью куришь и много.. здесь тоже самое...
И на счет импорта никакая это не финча и даже это тупо НЕ ЕСТЬ ГУД, ты тупо показываешь всем, что не можешь асилить PE формат с импортом, а там сложного нет ничего, просто обычная структура..
Бери и напрягайся, начинай учить PE формат и создавай алгоритм рандомно генерирующий импорт и алго восстанавливающий оригинальный импорт итд..
Сделай dra&drop(DragQueryFile) чтоли, да и always on top(поверх всех окон) тоже, окно-то маленькое..
Ну, как-то так в кратце..

 

[Грот]

KraZz
а ты случаем не с конторы? шутка
.

В реале все соффсем не так, ты просто возьми криптани пинча и отправь на virustotal.com и даже не бойся на таком этапе как твой криптор, дятлы внимание даже не обратят – ИМХО

в корне не согласен на твое ИМХО отправляешь криптованый пинч на проверку и смотришь ба! пришел отчет от пинча следовательно его кто-то запустил но как ты же только на проверку отправил смотришь отчет запускался на VM.
теперь немного о работе данного сервиса
при получении файлов многие из них запускают на VM и если он подозрителен то симпл откладывают на FTP а доступ на этот фтп легко покупают сотрудники AV итог твой симпл попадет к ним на раб стол для провер и не удивляеся что через
1 -3 дня он уже будет в базах AV.

отседа вывод!
когда я писал криптор то я замучился его переделывать тестируя на вирус тале
проверил нормально палиться каким то там антивирем смотрю что палитится пока смотрел бабах он уже еще 3 мя палиться (криптор статик был) смотрю каспер стал палить у меня тож каспер стоял ну я следовательно быстро просек сигнатуру по которой палит заменил все нормально кидаю на вирустал ура каспер заглох остались еще4 начинаю тестить как от них избавиться бу.. опять каспер палит.
итого я долго мучился перешел на платный сайт быстро все сигны подогнал.

итог на вирустале можно проверять заведомо чистые файлы к примеру криптованый блокнот но и тут нет 100% уверенности что он не попадет к AV
если ты уверен что те аверы что там есть не пройдут эмуляцию и тестируешь чисто статику.
к стати на данный момент многие платные сервисы очень неплохи вот к примеру
26 AV /virtest.com на этом хосте
41 на вирустале больше конечно не спорю
но все расчитано не на то что чел получивший файл начнет отправлять его на вирустал а просто проверит своим антивирем


р.с. результат проверки вирусталом чистого некриптованного HELLO.EXE (хелоу ворд) http://www.virustotal.com/ru/analisis/b497...f3ae-1260760117
так что выводы делайте сами.

 

[KraZz]

Не-не, я не из конторы %)))
Просто читаю у них контент иногда, а они рассказывают там, что попадает к ним в базы семплов(и при каких обстоятельствах), а что нет
У них у самих секьюрити как решето, так что НЕМНОГО в курсе про их приват %)))
Я по сути аверов НЕНАВИЖУ – это существа хуже кидал, лучше пусть кинут на 50к, чем иметь одного авера в друзьях – ИМХО

Ты вообще смотрел сам криптор.. ТС его выложил, чтобы ему посоветовали че да как
И вообще я чич-то случайно залез сюда, просто смотрю, что Флинт этот криптор в коллекцию добавил, вот и стало интересно че да каг, я если честно даже вторую версию не смотрел
Все писал чич-то теоретически, так как не имею возможности проверить, что там скажет virustotal.com
Скажем так - не имею привычки тестить, чужие крипторы на похернах каких сервисах, эта забота автора
У меня есть некий свод правил, что при соблюдении, которых в базу семпл может попасть 2% из ста

Спойлер: 8

Один ИЗ ПУНКТОВ - никогда не отсылай рабочий семпл. То есть когда криптуешь (к примеру пинч), то семпл (перед запуском пинча, то есть после отработки стаба) должен специально упасть или даже обронить систему..

Хз. что в твоем понимании статик, но если ты имеешь ввиду статичный стаб – то это гуано, а не криптор – ИМХО
Прохляет чтобы школьнику впарить, ну вот из-за таких крипторов(статичных) тупо и платят за чистки(на постоянной основе)..
Тут тупо изобретать велосипед уже не надо, можно взять любой криптор(их сотни), который позволяет выбрать стаб и его сбилдить, просто тупо берешь и генеришь стаб рандомный(полиморф), ну к примеру с помощью питона
Да и вообще надо в семпле создавать такой код, чтобы при одном только взгляде блевать тянуло
и при каждом билде, каждый раз была новая копия, полностью отличающееся от предыдущей - ИМХО

И я не заставляю делать, как я советую. у каждого мозг свой!
Хочешь быть спецом - работай с virustotal.com, хочешь быдлокодить как все(а их тысячи) - плати жидошекеля и тести на virtest.com - и это без вариантов! - ИМХО

P. S.
Насчет палит HELLO.EXE, жаль линк непомню
Но суть там была, чел на прогерском форуме просил совета как скомпилить прогу на дельфи, чтобы антивирь не арал %)))
Так что, если фсе-фсе AV тупо на virustotal.com молчат, то это посто еще один плюс криптору можно ставить..

ЗЫ: многое не стал комментить..

 

[Грот]

в принципе основа криптора это сам метод энтиэмуляции все остальное так.
нашел способ сбросить эвритстический эмулятор + тебе а как ты все это реализуешь тут уже твое дело ты можешь маскировать этот метод как угодно генерировать огромное количество разных модификаций кода генерировать разные
варианты регистров маскируя опять таки свой способ энти эмуляции

вот один их них основан на скорости обработки инструкций в режиме работы программы а также в режиме отладки и эмулятора AV
постараюсь понятней объяснить
к примеру в системе есть место получаемое через fs сегмент обычно он указывает
на кучу так вот если мы хорошо покопаемся там то найдем место в 1 байт
куда спокойно можно записать данные к примеру мы пишем туда 05
код примерно такой
mov byte [eax] , 05h ; где eax указывает на тот байт
xchg eax,eax ; далее выполняю тупую инструкцию
mov edx , byte [eax] ; забераем обратно байт
а теперь самое интересное дело в том что этот байт имеет схожую структуру с сегментом gs то есть он может хранить информацию всего 1 квант времени
при работе программы просто так инструкции успевают выполниться тоесть мы ложем туда 05 и заберем 05 а при работе в эмуляторе или в отладке инструкции выполняются медленней и соответственно значение этого байта будет сброшено на 00 и инструкция mov edx , byte [eax] получит в регистр dl 00
а далее все по усмотрению, мы можем сравнивать значение регистра edx или DL
с 00 и делать прыжок к примеру при детекте куда нить в космос.
метод довольна примитивен но эффективно работает на данный момент.

Хочешь быть спецом - работай с virustotal.com

это равносильно фразе хочешь быть спецом работай с AV

р.с. думаю каждый останется при своем мнении.
тема была про CODESPOILERR а мы тут дискуссию про вирус тал устроили.

 

[KraZz]

Не-не, что значит каждый при своем мнении окажется.. зачем тогда вообще форум нужен
Лучше пусть выскажутся все. пусть даже, если это не правильно(НЕТ – это тоже вариант)
Вот ситуация – видим продажу криптора
Написано(скрин, линк итд.) что НЕ палицца, тестился на virtest.com(к примеру)
И еще написано в самом низу «НЕ ПРОВЕРЯТЬ на virustotal.com»
Теперь представим такую ситуацию
Покупаем криптор криптуем бота(бот - это не пинч!), и впариваем жертве, а жертва перед тем как его запустить..(допустим) шлет на проверку virustotal.com, а там 2-5 AV его уже палят, причем сразу
Почему сразу может спалить, ну к примеру уже с такой "сигнатурой" был "изобретен криптор" и уже спалился раньше(а эти "сигнатурки в ручную изобретают(делают чистки)" каждый день "тысячи"), вот что такое статик криптор
Так как может селер утверждать, что он не палится, если он НЕ тестил там, куда шлют(virustotal.com) ВСЕХ(~70-80%) засранчиков..

Ну да ладно, к примеру, будем считат что за один день мир не изменится – обидно одно, что русские - это двигатель прогресса, но пока на западе "идея" одобрение не получит.. у нас, это воспринимать всерьез никто не будет
Видно так исторически сложилось, что самое начало(задаром) мы везем за бугор, там шлифуют и сюда уже везут в 100-1к раз дороже

Вот на сколько я знаю, Sunzer уже несколько лет занимается крипторами, да и они первые на паблике кто победили virustotal.com - ИМХО
Это я к тому, что не просто так пишу о чем-то, есть люди, которые этим занимаются, повышают свой скил итд.
Хотя не спорю - пока будет спрос на поделки школьников, они будут плодицца сотнями каждый день и все AV будут косить мани, имея в своем штате 1 шарящего на тысячу ламеров(дятлов)
ЗЫ: реально "немного" зафлудили тему %)))

 

[PaRaBe1Lum]

кто пробовал? ОС любые принимают?) для инсталов сгодится?) ТС ответь в асю.

 

[inlanger]

Я пробовал, большинство антивирей ругаться продолжают на склеенный ехе + закриптованный этой прогой.

 

[Chococream]

Сорь за археологию.
Вернулся недавно - требовалось написать криптор(пока работаю без вложений, т.ё с нуля).
Начал изучать этот: вообщем сам собственно неплох, получений кернел базы способов конечно до кучи много.
Казалось бы всё гуд, а текстовые значение плохо обрабатываются(даже второй версией), тем более криптор статик(спалится на раз).
Также на счёт мнения Краза о вирустотале: имхо отправлять туда не стоит, даже если и файл не такой важный - сигнатуру всё равно добавят в базы, а это как минимум пол часа чистки стаба. Вот собрать полиморф другое дело.

 

[KraZz]

Chococream пишет:
Также на счёт мнения Краза о вирустотале: имхо отправлять туда не стоит, даже если и файл не такой важный - сигнатуру всё равно добавят в базы

Та епт Вот не люблю, когда передергивают затвор и стреляют себе в висок %)))
Ну во-первых то, что я пишу - это всегда тупо ИМХО(и спорить с этим бесполезно) и не надо все воспринимать таг близко к сердцу!
А во-вторых я на мир смотрю всегда со своей колокольни(наверно поэтому я всегда протЕфф)
Я еще раз попытаюсь описать, про что я всегда пытаюсь написать, а как еще проще и доступнее написать, я просто не знаю
Допустим у нас есть криптор и есть зевс которого нужно криптануть
Мы криптуем этого зевса нашим условным криптором(естественно заполняем левыми данными!) и отправляем на virustotal.com, смотрим на выдачу и она(допустим) нулевая
Теперь естественно этот сэмпл что мы только что отправляли на virustotal.com УДАЛЯЕМ, пусть нах делают детект – это их забота
Ну, а мы же через командную строку, "говорим" нашему криптору, криптануть 100 сэмплов(сэмплы естественно на все 100 процентов разные, так как юзается пермутация, морф, полиморф итд и все это рандомно естествено)
Теперь через ftp заливаем их(эти 100 сэмплов) и на раздаче говорим нашей связке выдавать рандомно 1 сэмпл из этих 100
Теперь остается посчитать процент потери ботов при детекте одного из этих сэмплов

 

[Chococream]

В моём случае я описывал ситуацию: что будет если отправить статику на виртоталь... не каждый ведь полиморф собрать умеет, скопипастить и поставить движок - да.
Об рандомной выдаче сэмплов - гуд идея.

 

[Left4Dead]

KraZz

А как быть с поведенческим анализом? VirusTotal проводит чек без него.

* Анализ поведения

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).