Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - Чистка крипторов на примере FreeCryptor Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Чистка крипторов на примере FreeCryptor

27.06.2008

Чистка крипторов на примере FreeCryptor

Все наверно знаю новое творение GLOF'a под названием
Free Cryptor. Это довольно неплохой криптор exe файлов.
Самое главное что он бесплатный и постоянно обновляется.
GLOF наверно устаёт постоянно чистить его и вот я решил
ему так сказать помочь да и сам разобраца.

Для этого нам понадобится сам криптор (который можно слить
сдесь) ну и какойнибуть маленький ехе (чем меньше - тем
лучше) я использовал обычный Hello_World. Ну и собственно
сам инструмент WinHex (который можно слить сдесь)

Ну вот открываем мы наш Hello World в хексе и смотрим сам
код, благо он весит мало и саму структуру запомнить
довольно просто:



Теперь криптуем Free Cryptor'ом и опять же открываем
в WinHex'e и вот начинаем сравнивать криптованый файл
от не криптованого:

 

как видим до "a.idata" вроде всё одинаковое, а вот после
видим ".AFCryptor" - это имя секции криптора, её можно
переименовать на свой вкус ибо особой роли не играет.
Далее мы видим непонятный текст - это наш зашифрованный
Hello World после до "ssageBoxW" почти всё так же, а вот
посли видим некий "стаб" криптора который так сказать
идёт до окнца ехе файла:



почти в самом конце видим "FCryptor"....c:\1.exe" ну это
собственно то же имя что и было приписано в имени секции
криптора и путь до криптованого файла, их можно затереть
нафиг, ибо опять же роли не играет =))

а вот теперь давай начнём разбираца со стабом, ибо именно
по нему обычно аверы детектят криптор.
Как же узнать по какой именно сигнатуре ав детектит? Ну
мне на ум нечего не пришло кроме как поочерёдно затирать
по 1 символу и проверять перестал палица или нет.
Ну вот затираем "3", проверяем - палица, затираем "Т",
проверяем - палица, и так далее..... и доходим мы до
последовательности "<.hPT":



видим что после затирания знака "." (а именно его HEX
значения 02) палица перестаёт! Так вот значит это и
есть та сигнатура (или часть её) по которой АВ детектит.
Теперь проверяем на что можно заменить, попробуем
заменить на символ "0" (ноль, его HEX значение "30")



проверяем - не палится, проверяем - работает. Такс а
что же делать если и "0" добавят в базу сигнатур? Тогда
можно заменить на чтото другое, например на HEX
значение "00" и т.д.

Ну вот теперь мы знаем по какой сигнатуре детектит и на
что заменять по этому криптуем уже свой вредоносный код
(будь то пинч или ещё что-то) открываем его в WinHex'e
ищем последовательность байт "8B 02 90 50 54"

находим и зменяем в нём HEX значение "02" на "30" к примеру
и сохраняем  теперь наш код не палится .....

У вас наверно возник вопрос а как это дело 1 раз сделать
и больше не повторять?? Я расскажу вам  для этого
можно исправить сам криптор. Так как криптор запакован
WinUpack'ом его можно распаковать к примеру статик
анпакером который лежит сдесь.

Распаковали, теперь в нём то же ищем последовательность
байт 02 90 50 и заменяем 02 на 00 или 30 или что вам в
голову взбретёт =) теперь сохраняем криптор и юзаем его
 теперь он очищен :Р

з.ы. теперь примерно таким способом можно чистить и
другие сигнатурные крипторы ) это только пример,
дальше развивайте идею сами

Автор: Stalin

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Прочее
Опубликовал: ModeuS
Просмотров: 20955
Проголосовало через SMS: 1
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
мдя...
18.07.2008 / MaDfUn
Спасибо Beerchug
30.12.2010 / KSIRUS
ПомоглоRocks
20.01.2011 / olegish
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Разное » есть кто реально взламывает вотсап? достали разводилы!
  • Взлом и безопасность / Новичкам » Re: Услуги взлома ВКонтакте,Вотсап,Вайбер,Взлом ПОЧТЫ [ГАРАН...
  • Взлом и безопасность / Новичкам » Re: Услуги взлома ВКонтакте,Вотсап,Вайбер,Взлом ПОЧТЫ [ГАРАН...
  • Взлом и безопасность / Новичкам » Re: УСЛУГИ ВЗЛОМА МЕССЕНДЖЕРОВ, СОЦ СЕТЕЙ, ПОЧТЫ, САЙТОВ И Т...
  • Взлом и безопасность / Новичкам » Услуги легального взлома ВКонтакте,Вайбер,Вотсапп!Анонимно!
  • Взлом и безопасность / Новичкам » Re: УСЛУГИ ВЗЛОМА МЕССЕНДЖЕРОВ, СОЦ СЕТЕЙ, ПОЧТЫ, САЙТОВ И Т...
  • Взлом и безопасность / Новичкам » Re: Профессиональные услуги по взлому
  • Взлом и безопасность / Новичкам » Услуги легального взлома ВКонтакте,Вайбер,Вотсапп!Анонимно!
  • Взлом и безопасность / Новичкам » Re: Взлом Whatsapp.Viber.Instagram. facebook.Узнаем взломаем...
  • Сети / Общее » Услуги взлома ,переписка whats app/viber

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}