Просмотр полной версии : От чего крипторы палится?
dum_forever
02.08.2010, 13:04
От чего крипторы начинают палится? Можно-ли создать вечный криптор!?
Если делают на заказ, и только я его использую, может спалится криптор или мой вирус ? И каким образом ? :(
master008
02.08.2010, 14:15
Крипторы палятся так как 99% из них статические и в основном на визуал бейсике написаны, то есть после первой отправки на вирустотал их через час уже можно выбрасывать всем кто их купил или скачал.
Есть второй уровень крипторов-полиморфные, которые при каждом крипте генерируют разный стаб(расшифровщик). Эти крипторы в паблике очень и очень мало где можно найти и стоят они очень дорого, так как есть за что. Если крипт сделан на славу, то и после 1000 отправок разных криптованных файлов на вирустотал, криптор не начнёт палиться.
Ну и третий уровень - это метаморфные крипторы(или метаморфизм+полиморфизм). Таких крипторов я вообще не встречал ни в паблике, ни в продаже. Если кратко, то суть их сводится к тому, что просматривается весь файл и все команды в нём(обычно кроме call и jmp) заменяются на их синонимы, например inc eax заменяется на add eax. Но тут всё очень ограничено, так как синоним команды обязательно должен занимать либо столько же байт,либо меньше, чем исходная команда.
На практике правда такие крипторы не очень эффективны(если только метаморфизм там), так как у антивирусов есть так называемые флаги опасности файла , то есть если например встречаем вместо inc eax, add eax,1 то антивирус вполне возможно прибавит один флажок к своему счётчику, так как обычный компилятор врядли сгенерирует вторую команду, когда есть общепринятая первая, ну и так далее, и , если счётчик перевалит за определённую границу то антивирус выдаёт сообщение, что файл опасен.
В общем из всего вышесказанного можно сделать вывод, что криптор будет жить вечно, если саппорт будет его поддерживать вечно. А вечный криптор создать нельзя, как и перпету модуля.
Даже если я буду только подругам скидывать на компы, всё равно спалится ?:(
master008
02.08.2010, 15:01
Если подруги знают что такое вирустотал, то да
Неее им до этого далеко :rofl:
Добавлено через 16 часов 0 минут
Я так прочитав понял, что самый супер это полиморфные ?:)
Добавлено через 16 часов 17 минут
А как можно отличить статические от полиморфные ?:wallbash:
А как можно отличить статические от полиморфныХ ?
у статического криптора после криптовки любой вирус будет выглядеть как стаб криптора то есть стаб постоянен.
Полиморфи***769;зм — возможность объектов с одинаковой спецификацией иметь различную реализацию (c) wikipedia.org
Полиморфный криптор после крипта каждый раз выдёт разный стаб то есть стаб изменяется....
Например если закриптовать два раза тот же Poison Ivy то их стабы будут различаться...
т.е.нет гарантий того что он долго прослужит, даже если криптор в привате (смысла покупать нету)!
или все же имеется долговечная альтернатива?
master008
05.09.2010, 22:08
т.е.нет гарантий того что он долго прослужит, даже если криптор в привате
Эти гарантии тебе никто не даст. Всё познаётся на практике а пообещать можно всё что угодно. Да я думаю те для любой проги этих гарантий никто не даст
От того,что многие тестят файлы на подобным ВТ сервисах и палят стаб.
Где купить полиморфнй криптор? Подскажите!
Где купить полиморфнй криптор? Подскажите!
Дружище....ты заблудился.
master008
30.10.2010, 17:00
Где купить полиморфнй криптор? Подскажите!
Во всём инете реальный полиморф, выставленный на продажу видел токо у санзера(300$) . А другие поделки- на бэйсике, дельфи и С. Их там за 50$ обычно толкают и ещё и за чистку стаба деньги берут(dem energy например)
napuk228
30.10.2010, 21:00
Хорошая информация .. слыхал только о полиморфном и статическом крипторах. Вот ссылка на криптор Санзера (администрация не примити за рекламму) [Ссылки доступны только зарегистрированным пользователям]
По теме: если бы криптор юзал только один человек и ко всему прочему не палил творение, то он бы намного дольше/вообще не палился... Не говоря о Online сканнерах...
master008
02.11.2010, 17:20
valian, а мы и не знали, спасибо, что просвятил, кэп
eugen_mur
11.11.2010, 13:40
Спасибо за статью ! Теперь много понятно стало ;)
Хорошая информация .. слыхал только о полиморфном и статическом крипторах. Вот ссылка на криптор Санзера (администрация не примити за рекламму) [Ссылки доступны только зарегистрированным пользователям]
К сожалению Sanzer закрыл свой проект,юзал его криптор было много косяков и не доработок но Sanzer быстро всё исправлял.Качество было соответствующее.*thumbs up*
Кстати если хотите посмотреть его публичную версию которую он сам выложил ищите есть тема на хакере.Палиться конечно сильно но полимфор для ознакомления так сказать.Из инета не вздумайте качать склейки и трои одни.Только из темы Sanzera. платные версии тоже можно не искать по инету всё дропперы троев.Оригинал с серьёзной привязкой к железу и защитой themida.
bertolai
12.11.2010, 16:27
К сожалению Sanzer закрыл свой проект,юзал его криптор было много косяков и не доработок но Sanzer быстро всё исправлял.Качество было соответствующее.*thumbs up*
Кстати если хотите посмотреть его публичную версию которую он сам выложил ищите есть тема на хакере.Палиться конечно сильно но полимфор для ознакомления так сказать.Из инета не вздумайте качать склейки и трои одни.Только из темы Sanzera. платные версии тоже можно не искать по инету всё дропперы троев.Оригинал с серьёзной привязкой к железу и защитой themida.
Скинь плиз ссылку на его тему с этим паблик полиморф криптером.
На xakepe нет к сожаленью такой фичи как просмотр тем созданных юзером.
Самий лучий криптор, тот каторий непалитса, ето тот - каторий написан твоей рукой.
етот уж точно палитса небудет.
Условие - не иметь кривих рук =)
master008
19.11.2010, 23:57
тот каторий непалитса, ето тот - каторий написан твоей рукой. Наивный
DontForget
20.11.2010, 02:15
Палится после слива Ав очевидно.
На этом деньги делаются.:)
Наивный
чо сразу наивний,:blink: если пользоватса приватним то он рано или поздно попадьот на virustotal или на прочую службу, а если написать самим то явно % това что он будет палитса через неделю менше чем такойже тока приватний.
Палится начитают после того как некоторые юзеры проверяют файлы на virustotal.com :)
Не обязательно юзеры форумов на которых выкладывают крипторы.Допустим ты разослал свой трой(стилер,кейлогер,бот)куче простых пользователей соцсетей,но среди них тоже встречаются продвинутые и недовечивые,вот как раз такие и бросают твой файл на проверку на вирустотал,а таких сейчас много поверь,не то что раньше!
master008
20.11.2010, 17:54
чо сразу наивний Дело в том, что антивирусы в 50% случаев палят крипторы не по сигнатурам а по куче других признаков, характерных почти для любого криптора.
vBulletin® v3.8.4, Copyright ©2000-2010, Jelsoft Enterprises Ltd. Перевод: zCarot