1. Do you speak English? Use the English version of the site! Link
    Скрыть объявление
Скрыть объявление
Здравствуй гость! После регистрации на ресурсе, ты сможешь скачивать материалы с форума и участвовать в его жизни! Для регистрации откройте соответствующую форму или нажмите на эту ссылку.

Набор статей/видео на тему чистки stub'ов/crypter'ов.

Тема в разделе "Прочее", создана пользователем garikkk, 29.10.2015.

  1. garikkk

    garikkk Забанен

    Янв 11 2016 в 15:19
    Регистрация:
    13.10.2015
    Сообщения:
    169
    Симпатии:
    55
    Очень доступное и понятное видео как чистить софтинку от VaZoNeZ'a.



    Вот статьи на эту же тему:

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок! - Часть первая!

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок! - Часть вторая!

    Нужный софт:

    1) Free Hex Editor (Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!)
    2) OllyDbg v1.10 (Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!)
    3) [SD] SignDetect (Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!)
    4) PEiD v0.95 (Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!)



    Еще один видео мануал от не без известного NoX'a



    СКАЧАТЬ ВИДЕО:
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Нужный софт:

    Camaleon Offset Locator 2.0 + OCXСкачать :

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!



    Еще одна чистка стаба с помощью изменения имени системных .dll.




    СКАЧАТЬ ВИДЕО:
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Нужный софт:

    Stand Alone Xpress 2скачать :

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Еще одно видео по читске джойнера с помощью WinHex'a от наших испанских колег.




    Нужный софт:

    WinHexскачать :
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!





    Чистка крипторов на примере FreeCryptor

    Все наверно знаю новое творение GLOF'a под названием
    Free Cryptor. Это довольно неплохой криптор exe файлов.
    Самое главное что он бесплатный и постоянно обновляется.
    GLOF наверно устаёт постоянно чистить его и вот я решил
    ему так сказать помочь да и сам разобраться.

    Нужный софт:

    1)FreeCryptor

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
    Скачать :
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!
    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    2)Fuckav.ru Test Crypters
    ну и какой-нибудь маленький ехе (чем меньше - тем лучше)
    HeeloWorld как в оригинальной статье не нашел .. так что быстренько накодил мини утилитку для проверки работоспособности криптора. (Fuckav.ru Test Crypters) :

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    3)WinHex

    сам инструмент WinHex Который мы скачаем с офф сайта :

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!



    Ну вот открываем мы наш Hello World (или программу которую выбрали вы) в хексе и смотрим сам
    код, благо он весит мало и саму структуру запомнить
    довольно просто:

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    Теперь криптуем Free Cryptor'ом и опять же открываем
    в WinHex'e и вот начинаем сравнивать криптованый файл
    от не криптованого:

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!



    как видим до "a.idata" вроде всё одинаковое, а вот после
    видим ".AFCryptor" - это имя секции криптора, её можно
    переименовать на свой вкус ибо особой роли не играет.
    Далее мы видим непонятный текст - это наш зашифрованный
    Hello World после до "ssageBoxW" почти всё так же, а вот
    после видим некий "стаб" криптора который так сказать
    идёт до конца ехе файла:



    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    почти в самом конце видим "FCryptor"....c:\1.exe" ну это
    собственно то же имя что и было приписано в имени секции
    криптора и путь до криптованого файла, их можно затереть
    нафиг, ибо опять же роли не играет =))

    а вот теперь давай начнём разбираться со стабом, ибо именно
    по нему обычно аверы детектят криптор.
    Как же узнать по какой именно сигнатуре ав детектит? Ну
    мне на ум нечего не пришло кроме как поочерёдно затирать
    по 1 символу и проверять перестал палица или нет.
    Ну вот затираем "3", проверяем - палица, затираем "Т",
    проверяем - палица, и так далее..... и доходим мы до
    последовательности "<.hPT":




    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!





    видим что после затирания знака "." (а именно его HEX
    значения 02) палица перестаёт! Так вот значит это и
    есть та сигнатура (или часть её) по которой АВ детектит.
    Теперь проверяем на что можно заменить, попробуем
    заменить на символ "0" (ноль, его HEX значение "30")




    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!


    проверяем - не палится, проверяем - работает. Такс а
    что же делать если и "0" добавят в базу сигнатур? Тогда
    можно заменить на что-то другое, например на HEX
    значение "00" и т.д.

    Ну вот теперь мы знаем по какой сигнатуре детектит и на
    что заменять по этому криптуем уже свой вредоносный код
    (будь то пинч или ещё что-то) открываем его в WinHex'e
    ищем последовательность байт "8B 02 90 50 54"

    находим и меняем в нём HEX значение "02" на "30" к примеру
    и сохраняем теперь наш код не палится .....

    У вас наверно возник вопрос а как это дело 1 раз сделать
    и больше не повторять?? Я расскажу вам для этого
    можно исправить сам криптор. Так как криптор запакован
    WinUpack'ом его можно распаковать к примеру статик
    анпакером который можно скачать тут:

    Ссылки могут видеть только зарегистрированные пользователи. Зарегистрируйтесь или авторизуйтесь для просмотра ссылок!

    Распаковали, теперь в нём то же ищем последовательность
    байт 02 90 50 и заменяем 02 на 00 или 30 или что вам в
    голову взбредет =) теперь сохраняем криптор и юзаем его
    теперь он очищен :Р

    з.ы. теперь примерно таким способом можно чистить и
    другие сигнатурные крипторы ) это только пример,
    дальше развивайте идею сами


    ВСЕ ФАЙЛЫ ПРОВЕРЕННЫ НА СКЛЕЙКУ.