да, я это понял)
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Криптор исполняемых файлов. Эволюция.
Калькулятор, во первых uwp (в бесятке) , во вторых виндовые файлы (системные которые) не будут работать без папки UI; надо криптовать калькулятор с ХР или какой-то хелловорлд на Си/Асме.
Пока еще не смотрел проект.
Семёрка лучше?
Как минимум, легче, а так хз (и это все оффтоп, к теме криптора отношения не имеет).
Но калькулятор с семерки тоже не закриптуешь так легко, попробуй скопировать его в другую папку и запустить. Или там нотепад такой, не помню.
Вообще, на виндовс файлах не надо тестить, там есть вещи которые в малваре вы не встретите никогда.
Для проверки рекомендую использовать этот проект:https://github.com/bytecode77/winapi-ex
Там можно проверить как запуск exe, так и длл, в общем специально для этих целей и написан был.)))
По поводу у кого не работает, если поняли идею попробуйте свой загрузчик прикрутить, за основу можно взять наработки данного решения.
Просто тут статья интересна как идея, также в проекте можно глянуть примеры реализации и попробовать затянуть к себе в проект, я так рассматриваю это решение...)))
К сожалению сорцы еще не курил, так просмотрел немного, времени пока нет, но очень интересно.
Может на основе их сделаю что-то свое, для тестов, если-что отпишу здесь, с тестами реакций антивирусов.)))
Там можно проверить как запуск exe, так и длл, в общем специально для этих целей и написан был.)))
По поводу у кого не работает, если поняли идею попробуйте свой загрузчик прикрутить, за основу можно взять наработки данного решения.
Просто тут статья интересна как идея, также в проекте можно глянуть примеры реализации и попробовать затянуть к себе в проект, я так рассматриваю это решение...)))
К сожалению сорцы еще не курил, так просмотрел немного, времени пока нет, но очень интересно.
Может на основе их сделаю что-то свое, для тестов, если-что отпишу здесь, с тестами реакций антивирусов.)))
Да, чуть не забыл, хотел спросить у автора:
Ведь если прогонять криптованные семплы в облаке, они-же улетят в антивирусные лабы, или я что-то непонял ?
Интересно методики, как можно реализовать такой прогон ?
А как это происходит ?
Ведь если прогонять криптованные семплы в облаке, они-же улетят в антивирусные лабы, или я что-то непонял ?
Интересно методики, как можно реализовать такой прогон ?
я в qemu без сети и с откатом снапшота стартую винду. не то что бы я программист или вирусолог, но не хочу ломать чей-то труд.
Скажите, я могу взять, к примеру, нагрузку из того-же кобальта и прогнать через криптор?
если да, то в каком формате лучше подавать криптору эту нагрузку? в exe или в raw? или как шеллкод из байт?
- Автор темы
- Добавить закладку
- #48
Я понятия не имею какой файл вы криптуете. Выкладывайте сам файл, место где падает в дебагере, глянем.
В аттаче тестовый бинарик вызывающий месседжбокс и его криптованная версия, тестируйте. (Пасс тот же что в первом посте).
Загрузчик это отдельная интересная тема, на которую можно будет статью написать и разобрать все нюансы, такие как правильный хэндлинг TLS, ресурсов криптуемого приложения, обработку импорта, экспорта и т.д..
Еще на отдельную тему тянет статья по антиэмуляции (генератору уникальных антиэмуляторов, привет инде
). В крипторе есть задел в завязывании генерируемого кода на магические переменные, результат которых отдают антиэмуляторы. Об этом тоже есть что рассказать, может как нибудь в другой раз.
Идея подкреплена софтом, который вполне себе полноценный боевой при минимальных вмешательствах и актуализации советов, которые я давал в статье.
Разработано решение которое разворачивает виртуалки со всеми антивирусами и с помощью API гоняет семлы по всем.
Прогонять нужно бинарик (ехе).
И собрав все эти комментарии в один архив или библиотеку, да хорошенько их профильтровав и откомпилировав можно будет получить что-нибудь путное
П.с.: жаль, что смайлики стандартные
П.с.: жаль, что смайлики стандартные
Очень полезный материал,жаль,что хайда нету нормального и защита антинуб ну слишком простая,однозначно голос тебе.Однако,огорчил человек,который даже это не смог расшифровать,а другой все ему по полочкам расписал.
какой ты жадный!!!
Парень, без обид, но тебе всё правильно сказали. Для расшифровки пароля нужно было просто потратить немного времени. Если ты не знал как это сделать, то значит тебе эти исходники не были нужны. Я не знаю, что может быть ещё проще. Вместо этого мне пришлось только для тебя лично разжевать и в рот положить, чего я до конца не хотел делать. Теперь я ещё и остался виноватым.
Не расстраивайся. Если он не смог открыть архив, то воспользоваться этим он тоже не сможет. А значит все останется на стадии скачал->разархивировал->долго тупил->удалил/сохранил
Вопрос автору вы какой версий visual studio использовали для написания этого софта 2013?
Octavian почему вы файле используете tmain мы же пешим софт для windows? или я что то не понимаю
Твой криптованый exe не работает) Падает с ошибкой 0xc0000005 EXCEPTION_ACCESS_VIOLATION на этапе лоадера.Я понятия не имею какой файл вы криптуете. Выкладывайте сам файл, место где падает в дебагере, глянем.
В аттаче тестовый бинарик вызывающий месседжбокс и его криптованная версия, тестируйте. (Пасс тот же что в первом посте).
Загрузчик это отдельная интересная тема, на которую можно будет статью написать и разобрать все нюансы, такие как правильный хэндлинг TLS, ресурсов криптуемого приложения, обработку импорта, экспорта и т.д..
Еще на отдельную тему тянет статья по антиэмуляции (генератору уникальных антиэмуляторов, привет инде
Об этом тоже есть что рассказать, может как нибудь в другой раз.
Идея подкреплена софтом, который вполне себе полноценный боевой при минимальных вмешательствах и актуализации советов, которые я давал в статье.
Разработано решение которое разворачивает виртуалки со всеми антивирусами и с помощью API гоняет семлы по всем.
Прогонять нужно бинарик (ехе).
Уточнение: Не работает под Windows 10. Под Windows 7 заработал. Пошел курить твой лоадер)))
Последнее редактирование:
ребят иногда краш семплов происходит, подскажете куда копать?
Просто ахренеть, прям то что надо, СПАСИБО за статью! ОГРОМНАЯ РАБОТА!!! Наверное одна из лучших статей на ресурсе, однозначно в золотую коллекцию!
Великолепная работа, спасибо за статью
получилось очень информативно
получилось очень информативно
Все ссылки на сорцы мертвы.Не мог бы кто нибудь обновить