Программа Криптор - Projeto simples by Toony 157 [Rate: 3/35 ]

Тема в разделе "Упаковщики и хакерские утилиты", создана пользователем Hooko, 26 авг 2016.

↑ ↓
  1. Hooko Уважаемый пользователь
    Hooko
    Ответить в чате

    Форумчанин

    Регистрация:
    24.08.2016
    Сообщения:
    178
    Симпатии:
    171
    Пол:
    Мужской
    Репа:
    +181 / 3 / -4
    Jabber:
    [​IMG]

    Filename: crypted.exe
    Filesize: 621,51 kB
    Date: 2016-08-12 02:49:47
    MD5: 14b58286b1278591883050b7fc2bbc0f
    SHA1: 70713772814e8cb31ed32566945eb76e05a88601
    Status: Infected
    Rate: 3/35

    Слил с одного из испанских форумов.

    ЗАПУСКАТЬ НА ВИРТУАЛКЕ - НА СКЛЕЙКУ НЕ ПРОВЕРЯЛ!
    Комету не "бьет. Криптует норм.

    Details:
    Ad-Aware - File is clean
    A-Squared - File is clean
    Avast - File is clean
    AVG Free - File is clean
    AntiVir (Avira) - TR/Dropper.Gen
    BitDefender - File is clean
    BullGuard - File is clean
    Clam Antivirus - File is clean
    COMODO Internet Security - File is clean
    Dr.Web - File is clean
    ESET NOD32 - File is clean
    eTrust-Vet - File is clean
    FortiClient - File is clean
    F-PROT Antivirus - File is clean
    F-Secure Internet Security - File is clean
    G Data - File is clean
    IKARUS Security - Trojan.Win32.Injector
    K7 Ultimate - File is clean
    Kaspersky Antivirus - File is clean
    McAfee - File is clean
    MS Security Essentials - File is clean
    NANO Antivirus - File is clean
    Norman - File is clean
    Norton Antivirus - File is clean
    Panda CommandLine - File is clean
    Panda Security - File is clean
    Quick Heal Antivirus - File is clean
    Solo Antivirus - File is clean
    Sophos - Mal/VBCheMan-D
    SUPERAntiSpyware - File is clean
    Trend Micro Internet Security - File is clean
    Twister Antivirus - File is clean
    VBA32 Antivirus - File is clean
    VIPRE - File is clean
    Zoner AntiVirus - File is clean

    Качнуть: MEGA
    Pass: ru-sf.ru
     
    Последнее редактирование: 27 авг 2016
    • Мне нравится Мне нравится x 2
  2. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    259
    Симпатии:
    149
    Пол:
    Мужской
    Репа:
    +177 / 5 / -28
    Запаролено. И вообще не так проверяют крипторы. Тело должно изменяться, а не тупо копировать в ресурсы файл и не меняться. Школота обычно так и делает, ибо не понимает суть и цель крипта. FUD - это никакой не показатель, это текущий лог по детектам. После залива на VT такое говно перестаёт быть FUD :D
     
    • Мне нравится Мне нравится x 1
  3. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    382
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Пустые слова, на данный момент не видел ни одного криптора/вируса который был бы настолько полиморфным чтобы после слива на вт детект не появлялся. Если такой и есть то стоит он круглую сумму
     
    • Мне нравится Мне нравится x 1
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.866
    Симпатии:
    459
    Пол:
    Мужской
    Репа:
    +1.007 / 158 / -29
    Jabber:
    Telegram:
    Ну во первых детект бывает разным, если например детект наложен по хешу, то даже после залития на вт, если криптор действительно полиморфный, то следующии экземпляры будут без детекта уже.

    Вообще я всего один такой криптор видел в паблике, тут кстати исходник его есть, на visual c++ написан.

    Есть-же еще понятие метаморфизм, возможно Инди имеет в виду именно это, если по простому, то в моем понимании, отличия тем-что:

    Полиморфизм - Меняет-лишь часть кода вируса, как пример шифрование с разным ключем, но стаб уже может-быть задетектен и такой способ уже потеряет смысл, если детект будет на стаб.

    Метаморфизм - По сути меняет весь код вируса и стаб уже не поддается детекту, таких крипторов не разу не видел.

    Как такое реализовать теоретически ?

    Вот как я понимаю по простому, если что-то неправильно, может Инди поправит:

    На входе у стаба три основных параметра — адрес зашифрованного буфера, его длина и ключ.

    Далее на основе некого "базового" кода генерируется уже основные действия нашего вируса, т.е. расшифровка, запуск в памяти и т.д.

    По сути это что-то похожее на компилятор — на входе некоторые семантические конструкции, на выходе готовый к исполнению процессором код.

    Есть еще понятие пермутации, по сути это перестановка кода без потери его работоспособности, это тоже может подпортить жизнь аверам, даже после залития на вирустотал !
     
    • Мне нравится Мне нравится x 1
  5. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    382
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    после залития может быть и не будет детекта на другие криптованые файлы, но как только реальные люди начнут анализировать файл вся эта полиморфность накроется, я так думаю врядли возможно скрыть код так, чтобы после ручного дебага его не прочитали, а в ав компаниях работают отнюдь не дураки.. А когда есть исходный код то думаю не составит труда внести его в ав базу..
    Может быть я не прав, но врядли)
    ----------
    То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел. Повторюсь: такой софт если и есть то у каких-нибудь корпораций или правительственных организаций и стоит круглую сумму, поэтому не вижу смысла поливать грязью все сущетсвующие крипторы/вирусы ссылаясь на мифические софтины
     
    • Мне нравится Мне нравится x 1
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.866
    Симпатии:
    459
    Пол:
    Мужской
    Репа:
    +1.007 / 158 / -29
    Jabber:
    Telegram:
    Кстати нефакт, что если залить вирус на вирустотал, он попадет именно к аналитику, это-же какой штат нужно держать ? Учитывая что сейчас как понимаю аверы сокращают штат и делают ставку на автоматику.

    Скажу более, что заливал несколько вирусов и криптованных и нет и их детект вообще не менялся. Значит отсылают не все вирусы, а только какие-то популярные, или по определенным признакам !

    Если не ошибаюсь, он вроде писал двиган vmbe2 что-ли, название не помню. Он как-то подключался к криптору и детект отваливался, на сам двиган вроде нет детекта.

    Здесь на форуме есть тема вроде с ним, вот:VMBE2 (Indy)
     
    • Мне нравится Мне нравится x 1
  7. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    382
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    На счет движка хз, если действительно может обходить вт то круто, но как-то слабо верится
    По поводу вт для меня лично загадка как он работает, знаю одно: после залива кометы не важно криптованой не криптованой появляются боты от вт, обычно на эти боты нельзя зайти, посомтреть файловую систему/удаленный экран, но пару раз у меня получалось, судя по демке это чтото типо виртуальной машины, не знаю может у них эмулируются автоматически файлы, но мне кажется в любом случае крипты добавляют в сигнатуры живые люди
     
  8. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    259
    Симпатии:
    149
    Пол:
    Мужской
    Репа:
    +177 / 5 / -28
    Ребята, не надо про пермтацию вещать, это всего лишь концепт, который реализовать не представляется возможным из за сложности. Даже если и попытаться, то всёравно это задача класса NP, из за роблемы аналитики - отличить данны от кода и обнаружить связи между паразитными данными. На данный момент это не разрешимо, решения небыло и не ясно как это решать.
    Далее зачем вообще была упамянута тут пермутация. Эта техника не может обсуждаться. К крипторам отношения никакого не имеет, крипторы они полиморфы - это примитивное изменение стаба, это дерьмо даже не способно своё тело выделить.
    VMBE - за хз сколько лет так никто ничего и не понял(атомы) как оно робит. Но я упрощу вам задачу, курите матчасть.
     

    Вложения:

    • DFG.pdf
      Размер файла
      96,6 КБ
      Просмотров:
      3
    • Мне нравится Мне нравится x 1
  9. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    259
    Симпатии:
    149
    Пол:
    Мужской
    Репа:
    +177 / 5 / -28
    MIXA066

    > То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел.

    Чистим мозги^, тонны кода я так полагаю наработанного за десяток лет вылаживать не нужно =))
     
  10. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    382
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    К крипторам отношения никакого не имеет, крипторы они полиморфы - это примитивное изменение стаба, это дерьмо даже не способно своё тело выделить.
    Просто я так думаю что если поливаешь грязью что-то - продемонстрируй что-то лучшее. В данном случае криптор которому бы был не страшен слив на вт? Лично я считаю что такого не может быть, потому что на вт файлы попадают в лабы где сидят не глупые люди, все свои мысли я писал выше, если я не прав - поправь, желательно с пруфами, а не пустым хейтом всего и вся.
    Зы Доказательства это не только код но и пример его работы
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей