Runion
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an alternative browser.
You should upgrade or use an alternative browser.
Криптор
- Thread starter hk111
- Start date
Apocalypse
Midle Weight
- Депозит
- $0
Хах, вы чё, коты?
barnaul сказал(а):
Хах, вы чё, коты?
Не, ну лев - тоже по сути кот...
По сабжу: в современных реалиях, имхо, добротный обфускатор даст куда лучший результат, чем криптор. Как минимум за счет того, что не нужно в памяти размещать исходный бинарь, который никак не изменился в процессе. Понятно, что без сорсов часто нормально не обфусцировать (ну кроме дотнетов или джавов, конечно), и криптор может рассматриваться, как чисто на продажу, но все же... Сейчас уже надо слишком хитро выебывать этот криптор, чтобы это было хоть чем-то лучше обфускатора/морфера.
DildoFagins
Midle Weight
- Депозит
- $0
Пожалуйста, обратите внимание, что пользователь заблокированApocalypse сказал(а):
Ну какую книгу, ты чего? Читай доклады со всяких блек-хетов, там основные современные "обходы" + гугл.
Имею ввиду такие как Antivirus bypass techniques, но она за 21 год
hk111 сказал(а):
Имею ввиду такие как Antivirus bypass techniques, но она за 21 год
К сожалению, общих техник, практически, нет. А те что работали в 21 году, вполне могут сработать и сегодня (и часто работают). Но, опять же, у разных аверов все по разному, какой-то, к примеру, не изменял в движке ничего существенного несколько лет, а какой-то, каждый месяц выкатывает что-то новое. Взять тот же виндеф, еще пол года назад с ним можно было жить, а сегодня это довольно кусачий гад. Как то так
Пожалуйста, обратите внимание, что пользователь заблокированQuake3 сказал(а):
ТС, просто учись кодить. По факту, криптор это просто прога, которая берет малварь, и делает другую прогу - ехе , длл или что. Прогу, максимально похожую на легальную, но которая распакует и выполнит пейлоад (малварь).
у меня есть опыт кодинга на питоне и js, но это не подходит под данную задачу я так понимаю? нужен какой нибудь С, С#?
hk111 сказал(а):
нужен какой нибудь С, С#?
Это можно и на Петухоне сделать, вызывая winapi через ctypes, а потом все упаковать PyInstaller или какой-нибудь Nuitka. Но это будет всрато. Можно взять почти любой нативный язык: Цэ, Плюсы, Дэ, Ним, Раст, ну или дотнеты с Шарпами. Но опять же, чтобы не тупо скопипастить код с гитхаба, а сделать самому, нужно понимать, что и для чего ты делаешь.
DildoFagins
Midle Weight
- Депозит
- $0
hk111 сказал(а):
нужен какой нибудь С, С#?
Тебе нужен язык, на котором ты сможешь создавать бинарники и вызывать винапи. Да, конечно это можно делать на чем угодно, хоть на РНР - но нужен именно нативный язык. Т.е. изначально спроектирован для гуи, а не разные электроны / pyqt и подобное.
Суть криптора, как уже говорил, в принципе несложная. Ты берешь малварь, декодируешь ее (допустим хекс-ксор-рор-бейс1488), сохраняешь как пейлоад (можно разбивать на части, зависит от фантазии. Дальше делаешь любую гуи прогу, которая считает от 1 до 1000 и назад перемножая квадратные корни, т.е. делает вроде любую бессмысленную работу. Но, в фоне распакует пейлоад, декодирует и с помощью технологий вида RunPE / LoadPE запустит.
Как мне кажется, самый лучший способ в чем то разобраться - это погрузиться в проблему. Другими словами, возьми нечто, что ты бы хотел спрятать от антивируса (начни хотя бы с виндефа) и попробуй способы, что описаны в Antivirus bypass techniques. Так же, много способов есть на гитхабе. Эксперементируй и спустя какое то время к тебе придет понимание, на что реагирует авер и как с этим бороться.Quake3 сказал(а):
Но, в фоне распакует пейлоад, декодирует и с помощью технологий вида RunPE / LoadPE запустит.
Можно еще, с помощью donut или чего то подобного, конвертнуть в шелкод и запустить уже его.
А вообще, эта тема настолько обширная, что задавать общие вопросы бессмысленно, у аверов куча техник обнаружения и про каждую можно много чего рассказать. Так что начни с чего нибудь и у тебя появятся уже конкретные вопросы и вот с ними и возвращайся)).
Пожалуйста, обратите внимание, что пользователь заблокирован
Нужна будет обвязка в виде высокоуровневого языка, чтобы нормально морфить стаб, на нативе такое делать нецелесообразно. Берём Python, libclang или аналог, генерим мусор, размазываем нагрузку по коду, часть в ресурсы, часть в секции. Можно сделать проще и засунуть в ЕОФ, у кучи обычных прог есть данные в EOF и ничего, работает и не палится. Самое сложное в крипторе это загрузка PE, там есть миллион нюансов при обработке TLS, ресурсов. В винду ещё завезли active context и прочие приколюхи, там есть особенности с обработкой
Нужна будет обвязка в виде высокоуровневого языка, чтобы нормально морфить стаб, на нативе такое делать нецелесообразно. Берём Python, libclang или аналог, генерим мусор, размазываем нагрузку по коду, часть в ресурсы, часть в секции. Можно сделать проще и засунуть в ЕОФ, у кучи обычных прог есть данные в EOF и ничего, работает и не палится. Самое сложное в крипторе это загрузка PE, там есть миллион нюансов при обработке TLS, ресурсов. В винду ещё завезли active context и прочие приколюхи, там есть особенности с обработкой