Вопрос Вопрос на миллиард долларов, как сделать супер-пупер криптор ?

Тема в разделе "Крипторы и исследование защиты", создана пользователем X-Shar, 28 окт 2015.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.809
    Симпатии:
    427
    Пол:
    Мужской
    Репа:
    +960 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    В общем-то вопрос в теме !Dmeh-Smeh-Smeh!!!

    Для умников которые скажут, "Покажи миллиард", не проблема:

    13597027426770.

    Итак в этой теме хочется поднять что-же сейчас актуально:

    Вот на различных хак. ресурсах можно встретить куча крипторов в паблике, НО как-то скучно статей с гулькин нос, вернее статьи-то есть, но многие уже устарели, вообще если говорить про сам криптор, то скелет написать относительно не сложно и не важно какой язык, вот алгоритм скелета криптора как я понимаю:

    Будем считать что наш криптор состоит из двух отдельных програм:

    1.Конструктора
    - Это программа которая будет иметь GUI-интерфейс и будит подготавливать криптованый билд;

    Пример интерфейса:

    12124.

    2.Загрузчик - Он как-раз и расшифровывает вирус/программу которую нужно спрятать, шифрованную программу можно располагать в ресурсах загрузчика, или-же она может стать частью загрузчика, т.е. контсруктором мы всё это можем сделать...

    Итак алгоритм не сложный:

    Алгоритм конструктора:

    1. Открываем exe-файл, который будем шифровать.
    2. Читаем его в массив байтов.
    3. Шифруем массив XOR'ом с некоторым ключом (Ну либо неважно чем).
    4. Записываем зашифрованный массив в конец загрузчика (Либо в ресурсы).
    Вот собственно и весь алгоритм шифрования !

    Загрузка будет проходить так (Алгоритм загрузчика):

    1. Открываем на чтение собственный файл.
    2. Перемещаемся на длину, равную длине загрузчика.
    3. Считываем тело зашифрованной программы (от конца загрузчика до конца файла), ну либо берём из ресурса, если ложили в ресурсы конструктором.
    4. Запускаем сборку прямо из считанного массива байтов.

    Вообще подобный алгоритм можно использовать против реверсеров, что-бы скрыть что делает основная программа, но возникают проблемы:

    - Нужно применять антиотладочные приёмы, иначе АВ (Или реверсер), сможет без труда всё расшифровать и увидеть основной код, кстати в OleDBG такие программы расшифровываются в пару кликов...Dmeh-Smeh-Smeh!!!

    - Вторая проблема, что АВ часто ругаются на "Поведение" такой программы считая её "стрёмным" пакером и идёт либо сигнатурный детект на сам такой криптор, либо при запуске срабатывает "Поведенческий контроль", я уже не говорю что АВ умеют сами расшифровывать код...I'm sorry

    Ну в общем-то интересно кто как справляется с указанными проблемами ?Не въехал!!!Не въехал!!!Не въехал!!!

    И ещё на заметку, примеры реализации указанного алгоритма, пара статей:

    1)На Делфи:https://ru-sf.ru/threads/delaem-kriptor-vmeste.1928/

    2)На С#:www.vr-online.ru/blog/prostejshij-kriptor-c-programm-4534

    3)На Visual Basic:http://vbbook.ru/visual-basic/kriptor-pe-faiylov/

    Если есть ещё, кидайте в коменты...WinkSmile
     
    • Мне нравится Мне нравится x 2
  2. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    У некоторых крипторов видел что ав перестает детектить даже по поведению. Хз как это реализовано у испанцев спрашивайте :3
     

Поделиться этой страницей