Крипторы (только в этом топике)

Discussion in 'Безопасность и Анонимность' started by Mo4x, 19 Feb 2007.

Thread Status:
Not open for further replies.
  1. stalin

    stalin Member

    Joined:
    2 Oct 2007
    Messages:
    17
    Likes Received:
    23
    Reputations:
    0
    ога, там пару байт в коде стаба изменить и всё гуд ;-) а вот как вы будите RPolyCrypt чистить хз =\ там даж загрузчик морфецо \= ток если каждый файл после криптовки ручками .....
     
    1 person likes this.
  2. alexman90

    alexman90 Banned

    Joined:
    25 Oct 2007
    Messages:
    80
    Likes Received:
    74
    Reputations:
    -5
    Killerkod я не хочу RCryptor)) он у меня есть...и фрикриптор чистый тоже...я хочу толькоо RPolyCrypt.... а то палевны оутпост с процессов снимать))
    Сталин, а можете поподробней сказать где именно после криптовки ручками надо работать? а то я чёт не врубаюсь...
     
  3. Killerkod

    Killerkod Elder - Старейшина

    Joined:
    1 Aug 2007
    Messages:
    178
    Likes Received:
    113
    Reputations:
    0
    если тебе надо оутпост вырубить то сделай так:
    1 - Криптуй поликриптером с нужными настройками
    2 - Бери RCryptor и криптуй своего троя им после крипта RPCrypt
    Будет тебе и обход и все что хошь;)
     
  4. Belfigor

    Belfigor Elder - Старейшина

    Joined:
    14 Nov 2007
    Messages:
    156
    Likes Received:
    40
    Reputations:
    2
    у меня не выходит , вот решил возобновить эксперементы , :D криптрую Глоффоским криптором Рrorat (не палется вообще даже Каспером 7 , далее криптую RPolyCrypt1.4.1.exe , тут же палется , хотя сам RPolyCrypt1.4.1.exe вроде чистый и даже авира не него не пилюкает , но самое обидное , что после Глоффофского крипта , трой пашет :) а после RPolyCrypt1.4.1.exe перестаёт работать вообще , не говоря уже об выгрузках Оутпуста и обхода Касперского Интер Сек :(

    PS крипторы качал вот от сюда http://www.qsez.org/downloads.php?do=file&id=36 , там в архиве их много не один не палется (авира молчит и др тоже ) и файлы криптуются , но блин перестают работать
     
    #484 Belfigor, 24 Jan 2008
    Last edited: 24 Jan 2008
  5. Грот

    Грот Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    110
    Likes Received:
    36
    Reputations:
    0
    если ты о крипторе глофа то просто открое его хев редактором ищи кусок кода (стаб) как правило в самом низу и начинай дабовлять мусор к примеру смотришь инсрукция ,
    ноп
    ноп ты ее замени на mov eax,eax
    ну или
    ноп
    mov eax,0
    ноп

    а ты меняй в место нопа push eax
    mov eax,0 пропускаем
    след. ноп ставим pop eax
    ну короче мусор кидаем в код по тому как каспер палит только сигнатуры у него эвристик слабый
     
    3 people like this.
  6. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    689
    Likes Received:
    484
    Reputations:
    4
    Вся фишка крипторов и сводиться к таким трюкам, которые эвристики и эмуляторы не смогут пройти. :)
     
    4 people like this.
  7. CyberTm

    CyberTm Elder - Старейшина

    Joined:
    29 Oct 2007
    Messages:
    43
    Likes Received:
    3
    Reputations:
    0
    че т не получается.. через winhex эт можно сделать?
     
  8. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    да. если опкоды знать.
     
    1 person likes this.
  9. AnonyHamster

    AnonyHamster New Member

    Joined:
    26 Jan 2008
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    У меня проблема в том, что каспер при использовании FreeCryptor палит самого прорэта, тоесть его чистить смысла нет? А если Поликриптором, то палит именно криптор. Но его не почистить? А если каждый файл чистить, то может скажете, что именно менять? :rolleyes: Ато у меня получилось закриптовать им мелкий exeшник (кейген :) ), который потом палился каспером как закриптованный, но я в начале изменил в винхексе точку на 0 и он перестал палица. Но с сервером Рэта не получается. Либо палится, либо не работает :(
     
  10. CyberTm

    CyberTm Elder - Старейшина

    Joined:
    29 Oct 2007
    Messages:
    43
    Likes Received:
    3
    Reputations:
    0
    А чем тогда смотреть чтобы оп коды не знать?)
     
  11. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    дизасмом. тот же hiew.
     
  12. User312

    User312 New Member

    Joined:
    26 Jan 2008
    Messages:
    11
    Likes Received:
    3
    Reputations:
    0
    Недавно читал гдето статейку по чистке файлов (не обязательно крипторов). Так вот там описывалась программка AV Devil. Она определяет по каким сигнатурам антивирус детектит файл. Перерыл весь гугль и не нашел её. Есть только в какомто хакерском паке.. но он весит слишком много и качать ради 1 программы не вижу смысла, слишком много денег улетит. Может у когото есть? Залейте если так, либо направьте на путь истинный :)
     
  13. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    689
    Likes Received:
    484
    Reputations:
    4
    User312 Выложи статейку почитать. Я думаю AV Devil работает только на одном антивире и возможно его версии, просто парвит базы AVP...
     
    3 people like this.
  14. Belfigor

    Belfigor Elder - Старейшина

    Joined:
    14 Nov 2007
    Messages:
    156
    Likes Received:
    40
    Reputations:
    2
    усё Церетели КАРАЧУН твоим слепкам :D , читай тут http://forum.antichat.ru/showthread.php?p=575019#post575019
     
  15. Грот

    Грот Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    110
    Likes Received:
    36
    Reputations:
    0
    я бы посоветовал всеже hiew воо краткое описание действий
    открываем hiew он сразу открывает ту дерикторию где находиться если тут возникают проблемы (если ты новичок) то ложи криптор в дирикторию с hiew и так открыли криптованый пинчь (пример) види каракули нам не понятные жмем кнопачку вниз и ждем пока не дойдем до самого конца программы и так вот конец пока по прежнему ничего не понятно могу тебя обрадовать мне тоже ! итак жмем Ф4 и появляеться уже читаемая картина дальше по своему усмотрению поднимаемся выше до стаба ты увидишь как он начнеться до этого будудет вот это 00 00 00 00 00 00 ну и тд итак поднялись и видем то же что и в winhex но это еще не все жмем ф4 еще раз ну и интр ато вдруг не понятно и вот мы оказались на том ради чего все это делали вот он стаб вот инструкции

    итак теперь займемся редактированием поднимаемся или спускаемся до нужного уровня жмем Ф3 вот теперь можно редактировать если хочешь редактировать не цифры а саму инструкцию то жми интр меняй инструкцию затем интр ну и ЕСК итак переходим к следующей инструкции (не забудте смотреть за размером иначе каюк смещению) тоесть команда PUSH ESP занимает только 2 байта 54 а команда PUSH 18C48390 уже 8 в общем не партесь здесь после всех редактирований выходим из режима редактирования в режим просмотра тобиш Ф9 все все что мы изменили сохранено для выхода жмем Ф10
    вот вроде и все

    п.с может я чтото и упустил :D




    п.с Slip специально для тебя
    в чтобы после рет все это не начило выполняться нужно полсе пуша разгрузить мусор из стека тоесть поп, главное не пропустить другой поп или пуш иначе по вер твоего письма ляжет другое придеться вытаскивать по другому ну эта уже другая история а с размером ты прав, напутал я :D 1 байт я же написал не париться просто чтото посчитал цифры а не пары
     
    #495 Грот, 28 Jan 2008
    Last edited: 29 Jan 2008
    1 person likes this.
  16. spawn89

    spawn89 Elder - Старейшина

    Joined:
    15 Apr 2007
    Messages:
    310
    Likes Received:
    73
    Reputations:
    0
    нееее там на самом деле все намного просче)))))
    банально в ини`шку записаны сигнатуры наиболее известных крипторов и пакеров (всего около 30-40) а так же парочку голых троев и собсна ехе`шник-анализатор, травишь на него пинчару допустим и он банально со своей "базой" сверяет и усе..
    кстати диз слизали с каспа)))
    и кстати называется она по другому, приду домой напишу как.. а "AV Devil" это av&fw killer.
     
  17. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    689
    Likes Received:
    484
    Reputations:
    4
    spawn89 Гм. Понятненько. Интересно только от куда они эти "сигны с какого по какой байт" взяли. :) Не уж-то опытным путем )))

    А Парсить AVP базы было бы круто )
     
  18. Slip

    Slip Member

    Joined:
    26 Jun 2007
    Messages:
    14
    Likes Received:
    10
    Reputations:
    1
    сигны не из userdb.txt от PEiD ? :)
     
    1 person likes this.
  19. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    689
    Likes Received:
    484
    Reputations:
    4
    гм. вполне возможно и такое. :)
     
    3 people like this.
  20. User312

    User312 New Member

    Joined:
    26 Jan 2008
    Messages:
    11
    Likes Received:
    3
    Reputations:
    0
    С огромнейшим трудом нашел вчера эту программу... на какомто богом забытом ФТП сервере. Скачал версии 1, 2.0 и 2.1. На кисе не работает, на ноде вроде как работает, точно пока не протестировал, нечего сказать не магу. Сегодня скачаю спалившихся криптеров и буду тестить на Hello World :DDDD.
    P.S. если нужна эта программа стучите в аську (номер аськи не помню, не из дома в инет зашел, позже напишу) ^_^
    P.S.S Av Devil на Немецком :D.
     
Thread Status:
Not open for further replies.