Как криптуется малварь без правки исходников?

[CryNet]

Сабж. Интересует как криптовать вирусню вручную без правки исходного кода. Подскажите как это делается, как это вообще происходит, накидайте актуальных мануалов, а то в поиске по сайту одни предложения об услуге.

 

[500mhz]

Асемьблер хорошо знаеш?

 

[CryNet]

Асемьблер хорошо знаеш?

Нет, но когда-то пробовал писать простые вещи

 

[Nokia3310]

Криптуется - это имеется в виду шифрование. Берётся вирус - шифруется любым удобным методом - к нему прикрепляется дешифратор, который его потом расшифрует уже в оперативную память компьютера жертвы и там же запустит.
Это если описывать сам принцип и довольно грубо.

Если у вас нет возможности самим зашифровать или приобрести такую услугу, тогда можно почистить собственный вирус(не паблик барахло какое-нибудь) от статик детекта: берете любой оффсет локатор и другие полезные тулзы, шаманите над своим файлом в поисках причины и места детекта, потом находите эти места в ollydbg и др отладчиках и пытаетесь поменять их так, чтобы не сломать программу, но статик детект пропал. Так же чистятся от статических детектов и сами крипторы.

 

[CryNet]

Криптуется - это имеется в виду шифрование.

А есть вообще что почитать, статьи какие-то?

Если у вас нет возможности самим зашифровать

Та я просто хочу научиться это делать

 

[heybabyone]

А есть вообще что почитать, статьи какие-то?

Та я просто хочу научиться это делать

Дружище, ты понимаешь, что криптование не уж-то такая простая тема. Невозможно научится криптовать прочитав пару статей и мануалов. Люди тратят годами, чтоб понять это и не у многих есть терепение, чтобы изучать.
1. ты должен понимать какие бывают детекты аверов. Значть, чем отличается проактивка от сигнатуры. Что такое рескан памяти. Эмуляция, песочница
2. нужно владеть след языками: asm, c, c++ достаточно на высоком уровне (инжекты, запуск в памяти) + знание winapi
3. Понимать, что такое точка входа, энтропия, PEB, секции кода, подпись. Одним словом, хорошо знать бинарь.
4. Уметь работать с дебагерами и прочими нечистями. (а тут на асм нужно очень хорошо знать)
5. Уметь разрабтывать антиотладку, анти вм, антиэмуляция и т.д.
6. Понимать и отличать user mode от kernel mode. Знать что такое ntdll.dll, kernel32 etc

Разработка крипторов не такая простая задача. Это идет на уровне с разработкой малвари. А это достаточно высокий уровень

Как работает криптор вкратце:
Есть у тебя бинарь (exe) малваря. Его код берется и шифруется в специальный отсек другой программы. Это другая программа - это и есть криптор. После криптор, при запуске, выгружает из себя нашу малварь в свою память. Одним словом, мы поместили измененную версию малваря(exe) в другую программу, цель которой запустить этот малварь. Но тут нюансы есть, как антиэмуляция и т.д. Если ты это понял то можешь хоть щас уже что-то делать. А если нет, то учи матчасть

А есть вообще что почитать, статьи какие-то?

https://xss.pro/threads/37624/

https://xss.pro/threads/37690/

https://xss.pro/threads/37697/

https://xss.pro/threads/39006/

 

[heybabyone]

Если у вас нет возможности самим зашифровать или приобрести такую услугу, тогда можно почистить собственный вирус(не паблик барахло какое-нибудь) от статик детекта: берете любой оффсет локатор и другие полезные тулзы, шаманите над своим файлом в поисках причины и места детекта, потом находите эти места в ollydbg и др отладчиках и пытаетесь поменять их так, чтобы не сломать программу, но статик детект пропал. Так же чистятся от статических детектов и сами крипторы.

Была такая тулза, на питоне, которая секции кода выгружает и смотрит на детект и указывает, где она есть. Хорошая штука, жаль не помню как называется.

Так же чистятся от статических детектов и сами крипторы.

Очень просто делают кстати, либо морфят сорцы, либо бинарь. Можно разработать нечто вроде своего движка зомбака. Как раз подойдет чистить стаб криптора по сигнатуре.

 

[heybabyone]

comme pm or add +33615853209 in telegrame

can you send scan of your pasport with selfie for idently identification. Just I'm afraid of getting caught by scammers

 

[Bozon]

Сабж. Интересует как криптовать вирусню вручную без правки исходного кода. Подскажите как это делается, как это вообще происходит, накидайте актуальных мануалов, а то в поиске по сайту одни предложения об услуге.

Самый распространенный способ через дроппер. Представь себе матрёшку - снаружи оболочка красивая (энтропия, ресурсы, секции, fake winapi, etc), внутри - вирус.
Задача матрешки сбить антивирусы с толку как при статик проверке(без запуска файла), так и при рантайме(с запуском файла).
Погоди, спросишь ты - а как быть, когда вирус окажется в памяти в оригинальном виде - ведь будет "ор" от авера ?
На помощь приходят технологии:
- Обфускация исходного кода ( самое простое )
- Полиморфизм ( множественные точки входа )
- Метаморфизм ( изменение собственного кода вирусом )
- Пермутация ( изменение участков кода, на которые "орет" антивирус - разбавление новыми опкодами, fake вызовами, etc )
- И тому подобное ( на что хватает фантазии )

А, вообще - почитай вот этого товарища (старый добрый Зомби) http://z0mbie.daemonlab.org/
Блин, неплохо было бы его статьи актуализировать и выложить на данном форуме.
Также рекомендую https://wasm.in/blogs/

 

[Haunt]

- Обфускация исходного кода ( самое простое )
- Полиморфизм ( множественные точки входа )
- Метаморфизм ( изменение собственного кода вирусом )
- Пермутация ( изменение участков кода, на которые "орет" антивирус - разбавление новыми опкодами, fake вызовами, etc )

Ммм и кони и люди. По-моему все немного иначе)
Полиморфизм - это уникальный стаб, который постоянно меняется от билда к билду, обертка, которая как раз грузит чей то статичный ехе из памяти в память.
Метаморфизм - когда стаба как такового может не быть(он не особо нужен), так как изменяется все тело малвари -> в памяти оказывается каждый раз разный сэмпл, от чего сигнатурный рескан памяти оказывается бесполезным. Тот же полиморфизм, только как бы для всего тела малвари.
Пермутация - скорее всего встроенный дизассемблер/обфускатор в билд малвари, то есть малварь может «криптовать» сама себя по определенным правилам, зашитым в билд, так или иначе имеет общую цель, но разную архитектуру, подход... например с сервер сайд обфускатором.
Обфускатор - софт, работающий зачастую с абстрактным синтаксическим деревом какого-либо яп. Основная цель обфускатора это на уровне сорцов найти аналоги конструкциям и произвести замену.
Работа с данными, были прописаны данные статически - превращаем их в динамически вычисляемые. Меняем execution flow. Меняем карту вызовов. Если создать обфускатор, который умеет на 1 statement выдавать какое-то, желательно не фиксированное количество вариантов репрезентации кода - можно сказать, что этим мы достигаем метаморфизма. Да, это не совсем тот полиморфизм/метаморфизм, как если бы мы заменяли каждую асм инструкцию на аналог, но это как бы и к лучшему(статистика опкодов). Плюс достигаемый результат +- такой же. По этому назову это метаморфизмом.
Поправь, если не так.

 

[petroglyph]

Была такая тулза, на питоне, которая секции кода выгружает и смотрит на детект и указывает, где она есть. Хорошая штука, жаль не помню как называется.

https://github.com/vxlabinfo/SignFinder называется

Но она не на всех ав будет работать

 

[DildoFagins]

Обфускатор - софт, работающий зачастую с абстрактным синтаксическим деревом какого-либо яп.

Ну не обязательно на уровне AST, может любое внутреннее представление морфиться, вплоть до нативного кода. Давно хотел поэкспериментировать с морфингом объектных файлов (тк в отличии от исполняемых файлов там нет фиксированных переходов, которые нужно как-то обрабатывать при морфинге), но пока не нашел более менее хорошей библиотеки, которая бы их могла парсить и изменять. Канеш есть https://github.com/lief-project/LIEF но у меня еще толком не дошли руки его посмотреть.

 

[CryNet]

Блин, не плохо бы сделать оглавление в разделах, чтобы всё было в одном месте, или ответы на тривиальные вопросы.

А, вообще - почитай вот этого товарища (старый добрый Зомби) http://z0mbie.daemonlab.org/

Классный блог. Очень инетресное чтиво!

 

[Bozon]

Ммм и кони и люди. По-моему все немного иначе)
Полиморфизм - это уникальный стаб, который постоянно меняется от билда к билду, обертка, которая как раз грузит чей то статичный ехе из памяти в память.
Метаморфизм - когда стаба как такового может не быть(он не особо нужен), так как изменяется все тело малвари -> в памяти оказывается каждый раз разный сэмпл, от чего сигнатурный рескан памяти оказывается бесполезным. Тот же полиморфизм, только как бы для всего тела малвари.
Пермутация - скорее всего встроенный дизассемблер/обфускатор в билд малвари, то есть малварь может «криптовать» сама себя по определенным правилам, зашитым в билд, так или иначе имеет общую цель, но разную архитектуру, подход... например с сервер сайд обфускатором.
Обфускатор - софт, работающий зачастую с абстрактным синтаксическим деревом какого-либо яп. Основная цель обфускатора это на уровне сорцов найти аналоги конструкциям и произвести замену.
Работа с данными, были прописаны данные статически - превращаем их в динамически вычисляемые. Меняем execution flow. Меняем карту вызовов. Если создать обфускатор, который умеет на 1 statement выдавать какое-то, желательно не фиксированное количество вариантов репрезентации кода - можно сказать, что этим мы достигаем метаморфизма. Да, это не совсем тот полиморфизм/метаморфизм, как если бы мы заменяли каждую асм инструкцию на аналог, но это как бы и к лучшему(статистика опкодов). Плюс достигаемый результат +- такой же. По этому назову это метаморфизмом.
Поправь, если не так.

Я руководствуюсь старыми терминами и понятиями, взятыми еще из e-zine 200* годов (в основном VX тематика). В принципе, придраться не к чему - изложил очень доступно и главное технически грамотно.
Но, есть небольшая загвоздка - новичкам приходится тяжко, и чтобы человека не отпугнуть и дать вырасти до нормального спеца, приходится "сильно" упрощать, что я и сделал.

 

[Bozon]

Блин, не плохо бы сделать оглавление в разделах, чтобы всё было в одном месте, или ответы на тривиальные вопросы.

Насколько сейчас я вижу, имеется подфорум со статьями.
Осталось одно - рассортировать их по категориям (вирусология, взлом, кодинг, СИ и т.д). Желательно закрыть для создания тем, чтобы не затерялись в общем "потоке".
Не знаю, возможно в качестве user-friendly варианта будет идеальным отдельный от форума движок (блог?) со статьями(как авторские, так и копипаста), переводами.

Классный блог. Очень инетресное чтиво!

Еще бы. Его идеи порой кажутся революционными, а широта и глубина познаний поражает. Говорят: "все новое - хорошо забытое старое".
Качественных кадров давно на горизонте не видно, все ушли в подполье.
На пути маячат новые технологии (нейронные сети, машинное обучение(aka deep learning)), индустрия дошла до динамических (рантайм) проверок.
Рынок давно пора встрясти чем-то новым, пора начать применять в полную силу имеющиеся инструменты.
Но начать надо с образования: порождать, обучать, направлять кадры. Данный форум хорошее подспорье для рождения спецов уровня Z0mbie, а может и выше.

 

[DildoFagins]

Его идеи порой кажутся революционными, а широта и глубина познаний поражает.

Его идеи были актуальными в 2000ых, сейчас все они либо неактуальны, либо уже давно известны и реализованы. Но интересно, куда он пропал в свое время? Про него и индия даже есть мемчик в соответствующей теме.

 

[heybabyone]

Про него и индия даже есть мемчик в соответствующей теме.

https://xss.pro/threads/40972/post-251440

просто оставлю тут)

 

[CryNet]

Но интересно, куда он пропал в свое время?

Видимо туда же, куда и Вазон.

Качественных кадров давно на горизонте не видно, все ушли в подполье.

Это куда? Закрытые борды или что имеется ввиду?

 

[heybabyone]

Это куда? Закрытые борды или что имеется ввиду?

В приват ушли многие. Во скольких талантливых людей знал, все в привате, ни слуху ни духу. А там бабки такие делаются))) ой ой ой)

 

[CryNet]

В приват ушли многие. Во скольких талантливых людей знал, все в привате, ни слуху ни духу. А там бабки такие делаются))) ой ой ой)

Та я понял. Но я не могу понять что это. Что подразумеватся под словом "приват"? Заказы для серьёзных контор/дядей или что-то другое?

Его идеи были актуальными в 2000ых, сейчас все они либо неактуальны, либо уже давно известны и реализованы

А кого из современников порекомендуете? Какие-то блоги, например