Всем привет.
Хотел спросить через что и как делают ручной крипт?
Буду рад информации, курсам, книгам
Заранее спасибо!
Хотел спросить через что и как делают ручной крипт?
Буду рад информации, курсам, книгам
Заранее спасибо!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как сделать крипт?
- Автор темы fristailxxx
- Дата начала
-
- Теги
- крипт exe обфускатор
Для начала тебе нужно выучить PE формат
Ручной крипт это какое-то выдуманное понятие из 2000ых. Когда в журнале хакер выходили статьи, как с помощью хекс редактора убрать сигнатуры. Сейчас вручную мало что сделаешь, разве что ты гений и ксоришь дворды в уме, ну или будешь сидеть над 1 билдом месяц.
Криптуют примерно так. Сначала пишется РЕ лоадер , т.е. загрузчик исполняемого файла в память. Чтобы его написать, нужно знать худо бедно РЕ формат , либо откуда-то скопипастить (гугл LoadPE). Далее, пишется какой-нибудь стаб криптора, обычную прогу с последней студии, которая будет максимально похожа на легитимную (манифест, иконки, норм. импорт). Малварка (которую криптуют) перегоняется в хекс/бейс64/еще как нибудь шифруется, хоть тройным ксором. Можно в коде где-то сделать массив байт, можно загонять часть данных в ресурсы, да много как можно. Далее, криптор выделяет память, расшифровывает там малвару , и передает управление РЕ лоадеру (который настроит импорты, релоки, и собственно запустит файл).
В самом крипторе нужна какая-то антиэмуляция, чтобы авер не раскрутил полезную нагрузку сразу. Ну и т.д. Тут есть две статьи от юзера Octavian , вот посмотри их, там сорцы криптора и много матчасти.
Криптуют примерно так. Сначала пишется РЕ лоадер , т.е. загрузчик исполняемого файла в память. Чтобы его написать, нужно знать худо бедно РЕ формат , либо откуда-то скопипастить (гугл LoadPE). Далее, пишется какой-нибудь стаб криптора, обычную прогу с последней студии, которая будет максимально похожа на легитимную (манифест, иконки, норм. импорт). Малварка (которую криптуют) перегоняется в хекс/бейс64/еще как нибудь шифруется, хоть тройным ксором. Можно в коде где-то сделать массив байт, можно загонять часть данных в ресурсы, да много как можно. Далее, криптор выделяет память, расшифровывает там малвару , и передает управление РЕ лоадеру (который настроит импорты, релоки, и собственно запустит файл).
В самом крипторе нужна какая-то антиэмуляция, чтобы авер не раскрутил полезную нагрузку сразу. Ну и т.д. Тут есть две статьи от юзера Octavian , вот посмотри их, там сорцы криптора и много матчасти.
А вот в моем понимании ручной крипт это накрытие файла какими либо протекторами/пакерами по типу VMProtect, Enigma и тд.Иногда это действительно работает(например Vacation в своей статье криптовал темидой и получал вполне вменяемый детект).Но на мой взгляд это удел школоло с зеленки.Так-же еще пару лет назад(да и сейчас, например DCRat таким промышляют) «криптовали» винраром(SFX архивами).
это ошибочное мнение использование протекторов это не есть ручной крипт и sfx это все хрень
Я знаю.Но был один сервис который криптовал именно таким методом и называл себя ручным криптом)))
ручной крипт подразумевает в себе ( шифрование строк методом "AES, XOR, RC4, ZIP и многие другие методы", чистка сигнатур в самом коде путем переименовая методов либо запутывание вызовов методов и многое другое но ни как не использование sfx и прочих протекторов или паблик обфускаторов.
понимаю что паблик обфускаторы выполняют большинство этих задач но все равно толи ты сам кодишь толи ты просто ебанул файлик через обфускатор и посчитал что ты самый крутой кодер
если кому надо анти вм то вот реально рабочий код его просто в Main добавляете и все!
У вас должно быть более 7 реакций для просмотра скрытого контента.
C#:
bool NetVM = (new System.Management.ManagementObjectSearcher("SELECT * FROM Win32_PortConnector")).Get().Count == 0;
if (NetVM) Environment.Exit(0);- Автор темы
- Добавить закладку
- #10
Но увы у меня 2 реакции
Делать это руками, по крайней мере в C#(я не пишу на шарпе) это аутизм.Дотнет языки лучше всего поддаются морфингу.А вот в нативе это норм
Ахахаха, а если ты сам написал обфускатор/морфер, то ты кто?)
То что ты описал в своем сообщении это называется морфинг.В твоем случае ручной морфинг
ну сути это не меняет
Ну вот допустим человек купил твой стиллер и хочет его «криптануть».Он будет у тебя исходы просить?)
лаадно, раз уж зашла тема, тогда и я спрошу
в сети лежит много паблик крипторов
и встречается часто, что их можно реализовать, только надо - "чистить стаб"
вот обясните, что значит "чистить стаб" и как это делать?
в сети лежит много паблик крипторов
и встречается часто, что их можно реализовать, только надо - "чистить стаб"
вот обясните, что значит "чистить стаб" и как это делать?
Проще с нуля написать, чем чистить паблик
Примитивные стабовые крипторы работают по следующему принципу: криптуемый файл шифруется, помещается в стаб(ресурсы/секция и тд) потом стаб при запуске его расшифровывает и запускает в памяти(это все Квака описал выше).И через определенное время стаб начинает детектится.Если убрать из стаба сигнатуры, по которым он палится, то он снова станет юзабельным.Это и называется чистка стаба.
не! ты не понял. В данном случае например если человек купил у меня стиллера то я просто чищу код а если стиллер купил у кого то другого то для того чтобы мне сделать как ты называешь не крипт ручной а ручной морфинг убрать детекты то мне нужен будет либо чистый билд ничем не накрытый и обфусцированный либо исходник
+ вот именно это самый жирный минус в стабовых крипторах по сути стаб криптор это почти тоже самое что и лоадер
даже возьмем такой примитивный метод который некоторые могут называть крипт так как такой метод убирает множество скантайм детектов
берем софтину windows называется она "iexpress.exe через нее делаем самораспоковывающийся exe" после распаковки встроенный exe файлик запустится в скрытом режиме таким методом можно убрать скантайм детекты не все но большинство