Ещё раз про джойнеры, крипторы, стабы и прочую хрень

Тема в разделе "Крипторы и исследование защиты", создана пользователем X-Shar, 17 янв 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Я тут создал новый достаточно серьёзный раздел в хак. категории и сейчас думаю наверное зря, т.к. крипторы которые в паблике быстро устаревают, буквально 2-3 дня и палятся уже всеми антивирусниками и становится уже к сожалению не так интересно, ну и это ещё не самое хреновое, хреново то-что искать новые крипторы здесь опять-таки навряд-ли кто-то будет и тем-более тестить их, может-быть пару человек только…

    И как-бы тема не превратилась в унылый и никому не нужный копипаст…
    В начале раздел хотел удалить, но потом решил, а почему-бы вместо крипторов не давать теоретический материал, а это различные статьи посвящённые этой проблеме, может-быть какие исходники крипторов, ну в общем инфа больше позновательного характера…

    Возможно и это здесь мало кому интересно, но всяко лучше чем копипаст материала с ресурсов…

    Итак давайте в начале разберёмся, а что-же такое крипторы, стабы и т.д. и вообще зачем они нужны…

    Обо всём по порядку:

    1) Что-же такое криптор и стаб и зачем нужно:

    Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами. Крипторы можно разделить на 2 вида: хорошие и дерьмовые.

    Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы. При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.

    Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла. Но, как говорится, на каждую хитрую жопу найдется хуй с винтом — такие крипторы тоже со временем детектируются, и если автор не чистит свой продукт, то криптор перестает быть уникальным и посылается нахуй.

    Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу ебанутости и многочисленности авторов таких творений, мы не будем отрываться от стаи.

    Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается.

    Т.е. надеюсь поняли отличия в первом случае шифруется код программы, и стаб расшифровывает уже команды программы, а во втором случае шифруется сам файл программы и расшифровывается тоже сам файл, ну и понятно, что второй тип криптора это не что иное как не нужное гавно, т.к. практически любой антивирусник спалит вирус при расшифровке ! ;)

    Некоторые крипторы напрямую файл на диск не пишут, а запускают его из памяти, но это их не оправдывает, т.к. продвинутый антивирус словит это при запуске как нехуй делать.
    В таких крипторах уникальность каждого закриптованного файла достигается разными стабами. Но такой подход весьма ограничен — в хороших криптах это всего-лишь код, и его можно сгенерировать, а со стабами в говно-крипторах уже сложнее, поэтому авторы чаще всего создают под каждого клиента отдельный стаб. Подход глуп до безобразия, ведь ежели спалится антивирусами один закриптованный файл — за ним полетят и все остальные.

    С крипторами пока всё, идём дальше…

    2)Что такое джойнеры и зачем нужно:

    Джоинер (также биндер, joiner, binder) — программа для склеивания нескольких файлов (к примеру картинки в формате JPG и трояна в виде исполняемого файла EXE) в один контейнер. При запуске контейнер извлекает из себя файлы и запускает их.
    Чаще всего джоинеры используются для маскировки запуска вредоносных программ. Простейший вариант использования описан выше — склеиваем фотографию с вирусом. В итоге жертва запускает контейнер, видит фотку, а тем временем запускается троян и делает свое дело.

    Джоинеры бывают разные, крутые и не очень. Некоторые позволяют настраивать множество опций - куда контейнер будет извлекать файлы (иногда это важно), будет он запускать файлы скрыто или по-обычному (т.е. если программа имеет окна - при запуске они будут видны, в скрытом режиме запуска никаких окон видно не будет, даже если автором программы это было задумано) и т.д.

    Также большинство джоинеров позволяет настраивать внешний вид контейнера — иконку, информацию о версии и т.п.

    Все, абсолютно все джоинеры создают контейнеры в виде исполняемых файлов EXE. Т.е. вариант склеить изображение с трояном и получить файл jpg — невозможно. Данный вопрос периодически поднимается на форумах, но увы — решения нет. Также некоторые джоинеры позволяют создавать контейнеры с расширением scr, pif и com — но контейнер все-равно остается EXE'шником.

    В некоторых джоинерах есть опция мелтинга, о ней стоит рассказать подробнее. Во многих случаях она очень полезна. Суть вот в чем: при создании контейнера мы выбираем один из склеиваемых файлов. При запуске контейнера файлы извлекаются и запускаются, как и положено. И если мелтинг был включен и один из склеиваемых файлов был выбран — при запуске контейнер заменит себя выбранным файлом.

    Да, немного запутанно, на примере будет проще: склеиваем песенку с трояном, выбираем в настройках мелтинга файл песни, и для пущего эффекта прикрепим к контейнеру иконку аудио-файла. При запуске контейнер извлечет оба файла, запустит их и заменит себя песенкой.

    Источник: По материалам фака от Вазонеза (vazonez.com)
     
    • Мне нравится Мне нравится x 9
  2. BLONDY HACKER :))
    BLONDY HACKER
    Ответить в чате

    Форумчанин

    Регистрация:
    07.12.2012
    Сообщения:
    3.111
    Симпатии:
    13.972
    Пол:
    Женский
    Репа:
    +13.979 / 3 / -1
    я руками, ногами и всеми другими частямиОтдыхай!!! ЗА развитие таких темwink1
     
    • Мне нравится Мне нравится x 6
  3. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    зато все давно умеют юзать rarjpeg и что там в нем - часто могут лишь гадать. Но скачивают и распаковывают...даже без песочницы.
    [​IMG]
     
    • Мне нравится Мне нравится x 5
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.178
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Эту "технологию" (в посте выше) используют и в антинубах.Размещая картинку в качестве пароля для архива.​
    Для склеивания файлов помимо консольной команды,можно использовать самописные программки созданные для этого или же воспользоваться батникомДля склейки,достаточно лишь перетащить картинку и архив на этот батник.​
    1.
    Для извлечения скрытого файла,нужно скачать картинку и открыть её помощью вашего архиватора.​
    [rar]картинка.rar.
    Для тех,кто не смог достать батник из картинки:
    Код:
    @echo off
    if /%~x1==%~x2 exit
    if /
    %~x1 NEQ .jpg (if /%~x2 NEQ .jpg exit)
    if /
    %~x1 NEQ .rar (if /%~x2 NEQ .rar exit)
    if /
    %~x1==.jpg (
    copy /%1+ %"%~d1%~p1[rarjpg]%~n1.rar.jpg"
    ) else (
    copy /%2+%"%~d2%~p2[rarjpg]%~n2.rar.jpg")
    З.Ы.Всё это немного не по теме.К тому же обнаружил тему посвящённую этому на форуме.
     
    • Мне нравится Мне нравится x 8
    • Креативно Креативно x 1
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Наверное зря пишу, не знаю интересно-ли кому будет это здесь, но хочу поделится не плохими ссылками по теме, статьи есть как новые так и старые:

    1)Классная статья от Вазонеза, можно узнать про сигнатурный анализ, всё разжёвано:https://fuckav.ru/showthread.php?t=609

    2)Эта статья очень понравилась, реверсинг Авиры и способ обхода сигнатурного детекта:https://fuckav.ru/showthread.php?t=17907

    3)Здесь читаем комменты пользователя Multik:https://fuckav.ru/showthread.php?t=15452 wink1

    4)Прикольная прога от его-же, с класным названием "АВПИЗДА" Dmeh-Smeh-Smeh!!! https://fuckav.ru/showthread.php?t=15799
     
    • Мне нравится Мне нравится x 4
  6. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    Не знаю, кому, как, но мне очень интересна эта тема! Хотя знаний и опыта маловато, поэтому многое не понятно... Но ведь Истина в процессе, поэтому продолжу вникать в тонкости. С ключами тем и сообщений море, я вообще туда не захожу. Поэтому, не думай, что это никому не нужноWinkSmile
    P.S. вы с Антохой, sm582398247как два сапога, пара, смотрю, находит на вас периодически нудьга - зачем я это делаю, и кому это надо... - Надо! Уверена, что не только мнеlike it
     
    • Мне нравится Мне нравится x 3
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Так в том-то и дело, когда что-то интересно занимаешься чем-то, вкладываешь свою душу...

    А потом оглядываешься и понимаешь, а зачем это нужно и для чего это вообще ?

    И в этоге понимаешь что всё это фигня и реально мало кому нужно к сожалению или к счастью !My mind

    Хотя наверное такое можно сказать про всё в нашей жизни !Отдыхай!!!

    Вот и этот ресурс изначально создавал его для себя, не для кого-то, смысл-был отвлечься чем-то, было скажем так у меня не простое время, нужно было как отвлечься...

    Ну был создан этот ресурс, далее что-то вообще затянуло и превратилось в хобби...

    Далее зашло ещё более далеко, было затрачено ОЧЕНЬ много сил и даже денег на развитие этого проекта, я не знаю видно это или нет, реально очень много сил потратил...

    А сейчас оглянулся назад и думаю, а нахуя, зачем ?Не въехал!!! Не въехал!!! O-O-O88

    И ответа не нахожу !

    В любом случае я конечно бросать проект не буду, всё-же и пользователи ресурса сейчас НЕМАЛЫЙ вклад внесли в развитие ресурса !

    НО ЭТО НЕ КАКОЙ-ТО ВАРЕЗНЫЙ РЕСУРС, ДУМАЮ ЭТОТ ФОРУМ ЗАСЛУЖИВАЕТ БОЛЬШЕГО, НО ВОТ КАК ДАЛЬШЕ ЕГО РАЗВИВАТЬ Я ПОКА НЕ ЗНАЮ !

    Хочется побольше всяких статей, обсуждений, развития может-быть даже разделов с общением, а что в разделах "Комната отдыха", "Фотки", "Творчество", тоже немало интересных тем, которые выкладывают посетители...

    НО эти ключи вот мне реально тоже уже достали, они мне не интересны...

    А удалить эти разделы с ключами немного страшно, что уменьшится посещалка сильно, т.к. больше половины пользователей приходят для ключей !

    Вот и не понятно что делать !Не въехал!!!
     
    • Мне нравится Мне нравится x 4
  8. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    Так вот же, важно осознать, что цель - иллюзорна, а смысл и Истина в самом процессе. Человеку комфортней быть в состоянии покоя, стабильности, постоянства, что близко по сути к состоянию трупа. Часто люди занимаются не своим делом, ходят на работу, которую ненавидят, тем самым, обрекая себя на несчастье. Жизнь очень коротка (многие зрелые люди с этим согласятся), чтобы делать то, что не любишь. Думаю, если ты был так увлечен созданием форума, то получал от этого удовольствие, радовался успехом. В этом же и есть весь смысл. Что-то я разумничалась... тормозить надоЯ творю!!!

    У многих, видимо, бывают такие моменты... Кто-то свыше мне уже больше 10 лет дал "на подумать" о жизни и ее смысле, и не известно, сколько это будет продолжаться... Хорошо, когда можешь хотя бы предположить, когда закончится то, от чего хочется, как бы это помягче сказать... выть на луну.

    Лично я вижу, что с душой создавался форум, во многом видна хозяйская рука, одним словом, не для галочки.

    Возможно, мое предложение будет принято за бред, но все же рискнуblush1 Я одно время подсела на игру онлайн в нарды, времени это очень много отнимало, сейчас столько, конечно, не готова на это тратить, но партейку, другую не отказалась бы сыграть. Это в то же время очень сближает, возможно, турниры устраивать. В шахматы люблю, играю плохо, но поучиться желание есть большое. Может, такого плана здесь сделать раздел. Конечно, не знаю, насколько это технически сложно, но, может, стоит попробовать?!...

    А зачем удалять?! Пусть себе существуют эти разделы, как неотъемлемая часть одного организма, никому ж не приходит в голову себе х*й руку отрезать, хотя... возможно, иногда это вариантbig010101
     
    • Мне нравится Мне нравится x 4
  9. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    Извиняюсь, что нафлудила в предыдущем посте sr789 Исправляюсь:

    Для меня эта инфа в данный момент очень актуальна. Кстати, у автора ролика на канале много всяких полезностей.
     
    • Мне нравится Мне нравится x 4
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Это было-бы жестоко !sholoh it

    Вот ещё прикольный сайт, но там всё очень серьёзно, многое может-быть непонятно:http://www.wasm.ru/forum/viewforum.php?id=6
     
    • Мне нравится Мне нравится x 2

Просматривают тему сейчас (Пользователи: 1)

  1. webroot

Поделиться этой страницей