Программа Криптор - Projeto simples by Toony 157 [Rate: 3/35 ]

Тема в разделе "Упаковщики и хакерские утилиты", создана пользователем Hooko, 26 авг 2016.

↑ ↓
  1. Hooko Уважаемый пользователь
    Hooko
    Ответить в чате

    Форумчанин

    Регистрация:
    24.08.2016
    Сообщения:
    138
    Симпатии:
    146
    Пол:
    Мужской
    Репа:
    +151 / 3 / -4
    Jabber:
    [​IMG]

    Filename: crypted.exe
    Filesize: 621,51 kB
    Date: 2016-08-12 02:49:47
    MD5: 14b58286b1278591883050b7fc2bbc0f
    SHA1: 70713772814e8cb31ed32566945eb76e05a88601
    Status: Infected
    Rate: 3/35

    Слил с одного из испанских форумов.

    ЗАПУСКАТЬ НА ВИРТУАЛКЕ - НА СКЛЕЙКУ НЕ ПРОВЕРЯЛ!
    Комету не "бьет. Криптует норм.

    Details:
    Ad-Aware - File is clean
    A-Squared - File is clean
    Avast - File is clean
    AVG Free - File is clean
    AntiVir (Avira) - TR/Dropper.Gen
    BitDefender - File is clean
    BullGuard - File is clean
    Clam Antivirus - File is clean
    COMODO Internet Security - File is clean
    Dr.Web - File is clean
    ESET NOD32 - File is clean
    eTrust-Vet - File is clean
    FortiClient - File is clean
    F-PROT Antivirus - File is clean
    F-Secure Internet Security - File is clean
    G Data - File is clean
    IKARUS Security - Trojan.Win32.Injector
    K7 Ultimate - File is clean
    Kaspersky Antivirus - File is clean
    McAfee - File is clean
    MS Security Essentials - File is clean
    NANO Antivirus - File is clean
    Norman - File is clean
    Norton Antivirus - File is clean
    Panda CommandLine - File is clean
    Panda Security - File is clean
    Quick Heal Antivirus - File is clean
    Solo Antivirus - File is clean
    Sophos - Mal/VBCheMan-D
    SUPERAntiSpyware - File is clean
    Trend Micro Internet Security - File is clean
    Twister Antivirus - File is clean
    VBA32 Antivirus - File is clean
    VIPRE - File is clean
    Zoner AntiVirus - File is clean

    Качнуть: MEGA
    Pass: ru-sf.ru
     
    Последнее редактирование: 27 авг 2016
    • Мне нравится Мне нравится x 2
  2. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Запаролено. И вообще не так проверяют крипторы. Тело должно изменяться, а не тупо копировать в ресурсы файл и не меняться. Школота обычно так и делает, ибо не понимает суть и цель крипта. FUD - это никакой не показатель, это текущий лог по детектам. После залива на VT такое говно перестаёт быть FUD :D
     
    • Мне нравится Мне нравится x 1
  3. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Пустые слова, на данный момент не видел ни одного криптора/вируса который был бы настолько полиморфным чтобы после слива на вт детект не появлялся. Если такой и есть то стоит он круглую сумму
     
    • Мне нравится Мне нравится x 1
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну во первых детект бывает разным, если например детект наложен по хешу, то даже после залития на вт, если криптор действительно полиморфный, то следующии экземпляры будут без детекта уже.

    Вообще я всего один такой криптор видел в паблике, тут кстати исходник его есть, на visual c++ написан.

    Есть-же еще понятие метаморфизм, возможно Инди имеет в виду именно это, если по простому, то в моем понимании, отличия тем-что:

    Полиморфизм - Меняет-лишь часть кода вируса, как пример шифрование с разным ключем, но стаб уже может-быть задетектен и такой способ уже потеряет смысл, если детект будет на стаб.

    Метаморфизм - По сути меняет весь код вируса и стаб уже не поддается детекту, таких крипторов не разу не видел.

    Как такое реализовать теоретически ?

    Вот как я понимаю по простому, если что-то неправильно, может Инди поправит:

    На входе у стаба три основных параметра — адрес зашифрованного буфера, его длина и ключ.

    Далее на основе некого "базового" кода генерируется уже основные действия нашего вируса, т.е. расшифровка, запуск в памяти и т.д.

    По сути это что-то похожее на компилятор — на входе некоторые семантические конструкции, на выходе готовый к исполнению процессором код.

    Есть еще понятие пермутации, по сути это перестановка кода без потери его работоспособности, это тоже может подпортить жизнь аверам, даже после залития на вирустотал !
     
    • Мне нравится Мне нравится x 1
  5. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    после залития может быть и не будет детекта на другие криптованые файлы, но как только реальные люди начнут анализировать файл вся эта полиморфность накроется, я так думаю врядли возможно скрыть код так, чтобы после ручного дебага его не прочитали, а в ав компаниях работают отнюдь не дураки.. А когда есть исходный код то думаю не составит труда внести его в ав базу..
    Может быть я не прав, но врядли)
    ----------
    То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел. Повторюсь: такой софт если и есть то у каких-нибудь корпораций или правительственных организаций и стоит круглую сумму, поэтому не вижу смысла поливать грязью все сущетсвующие крипторы/вирусы ссылаясь на мифические софтины
     
    • Мне нравится Мне нравится x 1
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Кстати нефакт, что если залить вирус на вирустотал, он попадет именно к аналитику, это-же какой штат нужно держать ? Учитывая что сейчас как понимаю аверы сокращают штат и делают ставку на автоматику.

    Скажу более, что заливал несколько вирусов и криптованных и нет и их детект вообще не менялся. Значит отсылают не все вирусы, а только какие-то популярные, или по определенным признакам !

    Если не ошибаюсь, он вроде писал двиган vmbe2 что-ли, название не помню. Он как-то подключался к криптору и детект отваливался, на сам двиган вроде нет детекта.

    Здесь на форуме есть тема вроде с ним, вот:VMBE2 (Indy)
     
    • Мне нравится Мне нравится x 1
  7. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    На счет движка хз, если действительно может обходить вт то круто, но как-то слабо верится
    По поводу вт для меня лично загадка как он работает, знаю одно: после залива кометы не важно криптованой не криптованой появляются боты от вт, обычно на эти боты нельзя зайти, посомтреть файловую систему/удаленный экран, но пару раз у меня получалось, судя по демке это чтото типо виртуальной машины, не знаю может у них эмулируются автоматически файлы, но мне кажется в любом случае крипты добавляют в сигнатуры живые люди
     
  8. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Ребята, не надо про пермтацию вещать, это всего лишь концепт, который реализовать не представляется возможным из за сложности. Даже если и попытаться, то всёравно это задача класса NP, из за роблемы аналитики - отличить данны от кода и обнаружить связи между паразитными данными. На данный момент это не разрешимо, решения небыло и не ясно как это решать.
    Далее зачем вообще была упамянута тут пермутация. Эта техника не может обсуждаться. К крипторам отношения никакого не имеет, крипторы они полиморфы - это примитивное изменение стаба, это дерьмо даже не способно своё тело выделить.
    VMBE - за хз сколько лет так никто ничего и не понял(атомы) как оно робит. Но я упрощу вам задачу, курите матчасть.
     

    Вложения:

    • DFG.pdf
      Размер файла
      96,6 КБ
      Просмотров:
      3
    • Мне нравится Мне нравится x 1
  9. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    MIXA066

    > То что Indy уже в каком по счету топике рассказывает о чудософтине это конечно круто, но ни одного доказательства о существовании такого чуда, лично у него я не видел.

    Чистим мозги^, тонны кода я так полагаю наработанного за десяток лет вылаживать не нужно =))
     
  10. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    К крипторам отношения никакого не имеет, крипторы они полиморфы - это примитивное изменение стаба, это дерьмо даже не способно своё тело выделить.
    Просто я так думаю что если поливаешь грязью что-то - продемонстрируй что-то лучшее. В данном случае криптор которому бы был не страшен слив на вт? Лично я считаю что такого не может быть, потому что на вт файлы попадают в лабы где сидят не глупые люди, все свои мысли я писал выше, если я не прав - поправь, желательно с пруфами, а не пустым хейтом всего и вся.
    Зы Доказательства это не только код но и пример его работы
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей