ога, там пару байт в коде стаба изменить и всё гуд ;-) а вот как вы будите RPolyCrypt чистить хз =\ там даж загрузчик морфецо \= ток если каждый файл после криптовки ручками .....
Killerkod я не хочу RCryptor)) он у меня есть...и фрикриптор чистый тоже...я хочу толькоо RPolyCrypt.... а то палевны оутпост с процессов снимать)) Сталин, а можете поподробней сказать где именно после криптовки ручками надо работать? а то я чёт не врубаюсь...
если тебе надо оутпост вырубить то сделай так: 1 - Криптуй поликриптером с нужными настройками 2 - Бери RCryptor и криптуй своего троя им после крипта RPCrypt Будет тебе и обход и все что хошь
у меня не выходит , вот решил возобновить эксперементы , криптрую Глоффоским криптором Рrorat (не палется вообще даже Каспером 7 , далее криптую RPolyCrypt1.4.1.exe , тут же палется , хотя сам RPolyCrypt1.4.1.exe вроде чистый и даже авира не него не пилюкает , но самое обидное , что после Глоффофского крипта , трой пашет а после RPolyCrypt1.4.1.exe перестаёт работать вообще , не говоря уже об выгрузках Оутпуста и обхода Касперского Интер Сек PS крипторы качал вот от сюда http://www.qsez.org/downloads.php?do=file&id=36 , там в архиве их много не один не палется (авира молчит и др тоже ) и файлы криптуются , но блин перестают работать
если ты о крипторе глофа то просто открое его хев редактором ищи кусок кода (стаб) как правило в самом низу и начинай дабовлять мусор к примеру смотришь инсрукция , ноп ноп ты ее замени на mov eax,eax ну или ноп mov eax,0 ноп а ты меняй в место нопа push eax mov eax,0 пропускаем след. ноп ставим pop eax ну короче мусор кидаем в код по тому как каспер палит только сигнатуры у него эвристик слабый
У меня проблема в том, что каспер при использовании FreeCryptor палит самого прорэта, тоесть его чистить смысла нет? А если Поликриптором, то палит именно криптор. Но его не почистить? А если каждый файл чистить, то может скажете, что именно менять? Ато у меня получилось закриптовать им мелкий exeшник (кейген ), который потом палился каспером как закриптованный, но я в начале изменил в винхексе точку на 0 и он перестал палица. Но с сервером Рэта не получается. Либо палится, либо не работает
Недавно читал гдето статейку по чистке файлов (не обязательно крипторов). Так вот там описывалась программка AV Devil. Она определяет по каким сигнатурам антивирус детектит файл. Перерыл весь гугль и не нашел её. Есть только в какомто хакерском паке.. но он весит слишком много и качать ради 1 программы не вижу смысла, слишком много денег улетит. Может у когото есть? Залейте если так, либо направьте на путь истинный
User312 Выложи статейку почитать. Я думаю AV Devil работает только на одном антивире и возможно его версии, просто парвит базы AVP...
усё Церетели КАРАЧУН твоим слепкам , читай тут http://forum.antichat.ru/showthread.php?p=575019#post575019
я бы посоветовал всеже hiew воо краткое описание действий открываем hiew он сразу открывает ту дерикторию где находиться если тут возникают проблемы (если ты новичок) то ложи криптор в дирикторию с hiew и так открыли криптованый пинчь (пример) види каракули нам не понятные жмем кнопачку вниз и ждем пока не дойдем до самого конца программы и так вот конец пока по прежнему ничего не понятно могу тебя обрадовать мне тоже ! итак жмем Ф4 и появляеться уже читаемая картина дальше по своему усмотрению поднимаемся выше до стаба ты увидишь как он начнеться до этого будудет вот это 00 00 00 00 00 00 ну и тд итак поднялись и видем то же что и в winhex но это еще не все жмем ф4 еще раз ну и интр ато вдруг не понятно и вот мы оказались на том ради чего все это делали вот он стаб вот инструкции итак теперь займемся редактированием поднимаемся или спускаемся до нужного уровня жмем Ф3 вот теперь можно редактировать если хочешь редактировать не цифры а саму инструкцию то жми интр меняй инструкцию затем интр ну и ЕСК итак переходим к следующей инструкции (не забудте смотреть за размером иначе каюк смещению) тоесть команда PUSH ESP занимает только 2 байта 54 а команда PUSH 18C48390 уже 8 в общем не партесь здесь после всех редактирований выходим из режима редактирования в режим просмотра тобиш Ф9 все все что мы изменили сохранено для выхода жмем Ф10 вот вроде и все п.с может я чтото и упустил п.с Slip специально для тебя в чтобы после рет все это не начило выполняться нужно полсе пуша разгрузить мусор из стека тоесть поп, главное не пропустить другой поп или пуш иначе по вер твоего письма ляжет другое придеться вытаскивать по другому ну эта уже другая история а с размером ты прав, напутал я 1 байт я же написал не париться просто чтото посчитал цифры а не пары
нееее там на самом деле все намного просче))))) банально в ини`шку записаны сигнатуры наиболее известных крипторов и пакеров (всего около 30-40) а так же парочку голых троев и собсна ехе`шник-анализатор, травишь на него пинчару допустим и он банально со своей "базой" сверяет и усе.. кстати диз слизали с каспа))) и кстати называется она по другому, приду домой напишу как.. а "AV Devil" это av&fw killer.
spawn89 Гм. Понятненько. Интересно только от куда они эти "сигны с какого по какой байт" взяли. Не уж-то опытным путем ))) А Парсить AVP базы было бы круто )
С огромнейшим трудом нашел вчера эту программу... на какомто богом забытом ФТП сервере. Скачал версии 1, 2.0 и 2.1. На кисе не работает, на ноде вроде как работает, точно пока не протестировал, нечего сказать не магу. Сегодня скачаю спалившихся криптеров и буду тестить на Hello World DDD. P.S. если нужна эта программа стучите в аську (номер аськи не помню, не из дома в инет зашел, позже напишу) ^_^ P.S.S Av Devil на Немецком .
