Чистка стаба криптора (Avira, Kaspersky, ClamAV)

[SQIFF]

1.чистка стаба криптора от Авиры (видео) [Ссылки могут видеть только зарегистрированные пользователи.]

2. продолжение чистим от Каспера (видео) [Ссылки могут видеть только зарегистрированные пользователи.]

3. чистка от ClamAV (UNIX version) видео [Ссылки могут видеть только зарегистрированные пользователи.]

СОВЕТЫ

меняйте иконку перед чисткой на свою( именно свою нарисованную) очень помогает
нарисовать иконку можно тут
[Ссылки могут видеть только зарегистрированные пользователи.]
[Ссылки могут видеть только зарегистрированные пользователи.]

1. Chameleon Offset Locator 2.0
вкладка Mode AvFucker
а) Offset End - значение равно номеру файла получившемуся после Mode Dsplit,
но не может превышать размер стаба в байтах
б) Initial Offset - обычно берётся на 2000 меньше чем Offset End
если в этом диапазоне не нашлось рабочих файлов, то увеличиваем диапазон
или меняем значение Complete With
в) Complete With - значение может быть любым, на ваш вкус, я обычно использую
значения 90,00,FF

2. программа ExeKiller
а) Время на инициализацию процесса - в идеале ставить 700, но падает скорость,
чем меньше этот параметр, тем выше скорость сортировки файлов,но повышается
риск пропустить рабочие (программа просто неуспевает их обработать и
отправляет в папку хлам)
б) Captions.txt - сдесь прописывается название тестируемого файла из шапки окна,
если будете тестировать на других файлах, не Simple Dialog, просто допишите
там свою прогрммку ( например Calculator и т.д....)

После того как нашли рабочий файл с затёртым байтом, проверьте его на разных ось,
половина рабочих файлов из вин 7 не работает на вин ХР ( если хотите чтобы
после вашей чистки криптор работал на всех Виндовс) и только после этой проверки
меняйте байт в стабе

После того как почистили стаб от антивируса, проверьте его на разных файлах ( размер большой,
тестируемый файл обработан пакером и т.д...), заметил что некоторые антивири чутко
реагируют на такие параметры криптуемого файла ( пример- закриптованый файл в 10 кб не палится,
а закриптованый файл размером в 200кб начинает палится) если такое произошло, то начинаем чистить
дальше, но уже с тем файлом с которым палится, в папке мини проги для теста они есть

Порядок чистки антивирей (моё мнение)
1 Авира
2 Каспер
3 EmsisoftEmergencyKit
4 Нод
ну и дальше, что останется



пишите, что непонятно и т.д.

пароль на архив- TyOadkM4Gn

Как Вы наверно все заметили очень помогает в чистке сервис http://scanner.fuckav.ru отдельное спасибо вам

[Султан]

да и ребята начинайте чистку стаба всегда с авиры,если убьете все кроме авиры,и она останется в самом конце шансы ее прибить мизерные

[fullhack]

Если не сложно можешь сделать видео по чистки топовых ав

[nevazhno]

Вот еще: [Ссылки могут видеть только зарегистрированные пользователи.]

прога /showthread.php?t=13487

oxi Joiner - Chameleon Offset Locator 2.0 [Ссылки могут видеть только зарегистрированные пользователи.]

[SysWOW64]

Цитата:

Сообщение от SQIFF

посмотрел видео, этот способ расчитан на то что у антивиря только одна сигнатура в этом файле, а так бывает редко, а если в файле две и более сигнатур, то ваш метод не сработает

этот способ скорее всего и расчитан на аваст, так как у него почти всегда одна сигнатура.
вот поэтому я и перешёл на авиру... не идеальна, но таких багов нет !

[nevazhno]

Да хоть 10 сигнатур все работает, берешь этот же файл который почистил от 1 сигны и херачешь по диапазонам до конца файла

[Multik]

SQIFF, Ты чистил не стаб криптора, а PECompact.

Первое:
Когда ты пакуешь стаб PECompact'ом, в результате ты уже получаешь запакованный стаб, где на выходе уже код PECompact'а, соответственно чистить ты будешь именно код PECompact'а, а не стаба.
Второе:

Цитата:

в) Complete With - значение может быть любым, на ваш вкус, я обычно использую значения 90,00,FF

От этого значения зависит вся чистка вплоть до работоспособности стаба!
Возьмем для примера то, что ты менял в стабе на видео на 7 минуте: (я думаю, что тебе как автору видео непонятно будет о чем я, но надеюсь, что ты возьмешь букварь ассемблера и попытаешься все-таки разобраться и понять смысл)
Пример:
Возьмем сигнатуру 60 8B 74 24 24 8B 7C 24 28 FC B2 80 33 DB A4 ты в WinHex менял 7C на FF
Теперь посмотрим, что же на самом деле ты менял:

Код:

60            PUSHAD
8B7424 24     MOV ESI,DWORD PTR SS:[ESP+24]
8B7C24 28     MOV EDI,DWORD PTR SS:[ESP+28]
FC            CLD
B2 80         MOV DL,80
33DB          XOR EBX,EBX
A4            MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

Это код стандартного распаковщика PECompact'а, далее после изменения код превратится вот в этот код:

Код:

60            PUSHAD
8B7424 24     MOV ESI,DWORD PTR SS:[ESP+24]
8BFF          MOV EDI,EDI
24 28         AND AL,28
FC            CLD
B2 80         MOV DL,80
33DB          XOR EBX,EBX
A4            MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

PUSHAD помещает в стек значения всех регистров, MOV EDI,DWORD PTR SS:[ESP+28] из стека забирает значение регистра EDI, что по своей сути ничего не значит, так как регистр EDI содержит тоже значение, что и при вызове процедуры.
В результате после патча мы получаем MOV EDI,EDI соответственно данная команда не изменяет значение регистра EDI и сохраняется работоспособность кода распаковщика PECompact'а.
Также можно взять немного выше 8B742424 MOV ESI,DWORD PTR SS:[ESP+24] и изменить на 8BF6 MOV ESI,ESI, здесь мы меняем 74 на F6 и при этом не нарушаем работоспособность кода распаковщика PECompact'а.
Из приведенного примера выше можно увидеть что 90,00,FF это скудный диапазон, гораздо лучше потратить несколько недель на изучение банальных основ ассемблера и "делать чистки" с пониманием того что патчишь.
Третье:

Цитата:

заметил что некоторые антивири чутко реагируют на такие параметры криптуемого файла ( пример- закриптованый файл в 10 кб не палится, а закриптованый файл размером в 200кб начинает палится)

Это происходит из-за того что палит эвристик, параметрами которого является соотношение размера файла и к примеру размера секции кода, ну это конечно же грубо говоря, а так характеристики также как и критерии детекта эвристиком у каждого антивируса свои и их сотни, если не тысячи.
Эвристик проверяет соотношение параметров и если тестируемый файл попадает под определенные параметры, то может запуститься проверка по сигнатурам и вот в этот момент твои изменения в коде (так называемые чистки) являются решающим фактором.

Короче после просмотра этих двух видео, появилась мысля, что можно весь процесс автоматизировать.
Где-то видел, что AutoIt позволяет это сделать, сам я его не знаю, но видел, что тут даже криптор на нем писали, так вот гораздо лучше будет автоматизировать весь процесс, что на видео показан.
Я почти на 90% уверен, что может все получиться, даешь "скрипту" AutoIt стаб и идешь пить холодный соленый кофе с горячим вареным сладким луком, а через несколько часов получаешь несколько готовых почищенных стабов.
Ведь обсуждение и реализация автоматизации чистки стабов может повысить рейтинг сайта...

Подведем итоги ну или посмотрим на то что нужно автоматизировать:
1. Стаб пакуется PECompact'ом для того чтобы убить детекты убогих AV у которых даже нет банального анпакера/эмуля PECompact'а.
Судя по видео и сигнатуре CalmAV, там все просто - детект как факт наличия того что файл упакован PECompact'ом и как бы пох на все чистки.
А судя по сигнатуре Dr.Web видимо он эмулит PECompact и видит что под ним говнокрипт на VB. Скорее всего, можно попробовать почистить сам стаб, до упаковки PECompact'ом. (хотя, конечно же, здесь нужен антиэмуль.)
2. После этого изменяется код (несколько байт в разных местах) самого распаковщика PECompact'а, делается это при помощи Chameleon Offset Locator 2.0 и WinHex
3. Потом результат чекается локально установленными антивирусами и удаляются те файлы которые имеют детект, и после всего этого брута... (по своей сути)
4. ExeKiller проверяет на работоспособность стаб и удаляет бажные стабы.
5. Ну и апофеозом является scanner.fuckav.ru

Теперь о возможных последствиях:
Это была твоя фишка, пусть и примитивная, но твоя.
То, что ты чистил и выкладывал почищенные стабы/крипторы, можно сказать было правильным решением.
Но тебя попросили выложить в паблик метод и даже заснять видео.
И вот самое начинается интересное - те, кто увидит данную тему после просмотра видео, начнут сами делать чистки и вот здесь не у каждого есть доступ к scanner.fuckav.ru, а стало быть, есть много тех, кому вообще пох и они будут тестить на virustotal.com
Надо было положить видео хотя бы под хайд. Это прибавило бы жизни.
Массовый слив так называемыми школьниками на virustotal.com различных вариантов чисток по твоему видео, заставит аверов принять меры.
К примеру, если бы ты сам делал чистки - это могло бы продолжаться в течение года, а так уже через несколько месяцев или даже недель, когда в PECompact'е не останется места, которое можно будет изменить - лавочка закроется. (где-то видел что ты писал что с UPX плохо чистится, вот тоже самое скоро будет и с PECompact'ом)

[Multik]

Цитата:

надо как-то определится)) видят антивири что запаковано или нет)), просто очень сомневаюсь, что у каспер и авиры нет эмуля и репака и они не видят что запаковано))

А что тут определятся, естественно у каспера есть распаковщик PECompact'а. Это видно даже на твоем втором видео, достаточно посмотреть на путь при сканировании каспером, там в конце текущего проверяемого файла добавляется PE_Patch.PECompact
Я ж тебе написал чтобы понять всю суть того что я написал тебе нужно почитать книги по ассемблеру! Ты же себя как-то сломал, чтобы "заказать" прогу ExeKiller. Вот видимо пришло время, когда тебе нужно сломаться и сесть за книги, чтобы повысить свой уровень знаний.
Учиться - это не есть что-то плохое (знания = деньги), а вот думать, что ты что-то знаешь и при этом нихуя в голове нет - вот это и есть понятие школьника.
Постарайся выделиться из серой массы. Поверь, ты сможешь.
Ведь только победители приходят и трахают королеву балла, а неудачники держат свечки...

Касперский, прежде чем распаковать PECompact должен как-то определить, что это PECompact, вот он и определяет как бы сигнатурно, если опираться на то, что показано на видео.
Ты же своими патчями сбиваешь сигнатурный детект PECompact'а, вследствие чего касперыч не знает, что можно/нужно запустить анпакер и начинает анализировать код PECompact'а.
Если бы он эмулил, то ему как бы было бы пох на твои чистки...
Если разбирать второе видео подробнее, на котором ты убиваешь детект касперского, то нужно внимательно посмотреть на то, что ты патчишь.
На пятой минуте второго видео ты патчишь код распаковщика PECompact'а уже в самом конце кода.
Вот сигнатура:

Код:

8B 08 89 4B 1C 03 F2 8B 4B 0C 03 CA 8D 43 1C 50 57 56 FF D1

Для того чтобы понять что ты патчишь именно код PECompact'а, достаточно запаковать калькулятор PECompact'ом и открыть этот запакованный файл в WinHex поискать бинарную сигнатуру и убедится что она там присутствует, также там будет присутствовать и сигнатура 60 8B 74 24 24 8B 7C 24 28 FC B2 80 33 DB A4 которую я показывал постом выше.
Теперь если посмотреть на код этой бинарной сигнатуры:

Код:

8B08             MOV ECX,DWORD PTR DS:[EAX]
894B 1C          MOV DWORD PTR DS:[EBX+1C],ECX
03F2             ADD ESI,EDX
8B4B 0C          MOV ECX,DWORD PTR DS:[EBX+C]
03CA             ADD ECX,EDX
8D43 1C          LEA EAX,DWORD PTR DS:[EBX+1C]
50               PUSH EAX
57               PUSH EDI
56               PUSH ESI
FFD1             CALL ECX

А таким он становится после патча. (при замене 8B на FF)

Код:

FF08             DEC DWORD PTR DS:[EAX]
894B 1C          MOV DWORD PTR DS:[EBX+1C],ECX
03F2             ADD ESI,EDX
8B4B 0C          MOV ECX,DWORD PTR DS:[EBX+C]
03CA             ADD ECX,EDX
8D43 1C          LEA EAX,DWORD PTR DS:[EBX+1C]
50               PUSH EAX
57               PUSH EDI
56               PUSH ESI
FFD1             CALL ECX

Здесь регистр ECX имеет тоже значение, что и до вызова MOV ECX,DWORD PTR DS:[EAX] что по своей сути одно и то же, можно просто занопить (8B08 заменить на 9090) что будет также своего рода чисткой.
Второй патч на втором видео ты делаешь немного выше по коду, о чем собственно и говорят как бы адреса 22065 и 22143, попробуй сам найти ассемблерный код второго патча, который ты делаешь на 15-ой минуте на втором видео и понять, что изменилось после патча.
По-сути ты патчишь весь код примерно в одном месте, имея достаточно знаний - такая чистка может занять несколько минут, а тебе приходится с кучей прог брутить в течение нескольких часов, не проще ли потратить эти часы на изучение ассемблера, чтобы потом в будущем сэкономить значительно больше времени...
Чтобы убить авиру - достаточно сделать пару патчей, чтобы убить касперыча - нужно четыре. "вот как бы собственно и вся разница между ними"
Хотя не исключено что может понадобиться и больше или даже меньше, скорее всего тут зависит от того в каком месте патчишь и что патчишь.

Код:

на счет автоматизации здравая идея, но только кто её сможет воплотить?

Я. Делать что-то "нереальное" это как раз для меня.
Помню, делал тесты (планирую запилить статью об этом), так вот там выяснил, что есть вещи, которые будут пострашнее банального слива на virustotal.com
Там через пару часов уже был запилен сигнатурный детек на мой крипт, отличились обезьянки из шарашкиной конторки VBA32, вот вынашивал план, как наказать... Увидел твое видео и понял как, теперь вот хлебать дерьмо будут все вендоры.

Цитата:

улыбнуло и напомнило, амеры истратили лимоны баксов , чтобы изобрести ручку которая пишет в космосе, а наши плюнули на всё и используют карандаш))
поидее всё что там сделано уже выкладывалось в сети, просто добавил рекомпакт

Амеров, хотя после легализации однополых браков, их можно официально называть пидарасами, так вот после просмотра их видео кроме ЛОЛа ничего не запоминается, а вот твои художества могут повлиять на что-то и твои чистки как бы имеют результат пусть даже и скоропостижный, но все-таки он есть...

Цитата:

нет не пох)) 3 секунды))

Ну то, что почистить можно - я даже не сомневался...

Цитата:

просто обьясните чем он плох язык этот?

При изучении ассемблера в мозге появляется как бы немного электричества, а после VB - мозг атрофируется и превращается в кусок мяса.
Да и VB это все же ближе к макросам, в редакторе EmEditor можно писать макросы на VB, в Microsoft Visual Studio тоже можно писать на макросах (там он как бы VB.NET)...
VB способствует развитию у кодера склонности к копипасту, то есть нагуглить код, вставить его в свой мегаговнокриптор на VB и обфусцировать код, чтобы затруднить "декомпиляцию".
VB-стабы по своей сути однотипны из-за копипаста, разница в обфускации кода, а обфусцировать код можно при помощи обфускаторов, а для этого мозг особо и не нужен...
На нем пишут в основном пиндосы из евросоюза, поэтому у нас так много этого хлама...

[Multik]

Цитата:

не надо разговаривать с высока, если знаеш, подскажи и научи, тут много таких ламеров как я( а читай букварь, смотри гугл)

Ну, вот видишь, как удачно все складывается, тебя это задело, как и многих других...
Вот в следующий раз перед тем как назвать кого-то школьником, многие задумаются и скорее всего постараются помочь советом и отнесутся с пониманием, а не тупо будут слать в гугл и называть школьниками того кто просит помощи.
Я надеюсь, форум станет со временем чище от пустозвонов, и сюда прейдут те, у кого есть знания и будут помогать нуждающимся...

Цитата:

а вот подучится готов..( мне это интересно)

Да тут собственно секрета большого и нет, все как бы на виду лежит.
Здесь (Введение в крэкинг с нуля, используя OllyDbg (сборник))
[Ссылки могут видеть только зарегистрированные пользователи.]
Можно найти и скачать статьи с васма об OllyDbg (если их там нет, то попроси чтобы залили), читай и делай по одной статье в день (чтобы не напрягать сильно мозг)
Если что-то не понятно прям там, в разделе начинающих и спрашивай, если что-то не понятно.
[Ссылки могут видеть только зарегистрированные пользователи.]
Там тебе реально помогут, дадут ссылки на то, что нужно почитать и т.д. (только не говори там, что ты отсюда, а то в бан можешь улететь, там "троянщиков" не любят)
Когда научишься пользоваться OllyDbg...

По чисткам прочитай вот это: (Прячем Зло или Чистим АВ-сигнатуры)
/showthread.php?t=609
Там есть раздел «Сама чистка»
Вот там как раз и написано, как можно увидеть и понять то, о чем я писал выше по теме.
Начни читать вот с этого момента:

Цитата:

Запоминаем несколько байт по этому адресу, например 8 штук - (BF 68 66 40 00 33 С0 55). Чем больше байт, тем лучше - но в нашем случае восьми будет достаточно. Закрывай Frhed - он больше не понадобится.
Последний инструмент, который будем использовать - OllyDbg.

Там прямо четко описана сама суть чистки...
Для того чтобы понять о чем он там пишет тебе нужно будет изучить базовые понятия ассемблера, тут как бы все просто и в тоже время сложнее...
Возьми погугли книги по ассемблеру, и начинай их читать все. Вот в какой книге тебе будет понятнее всего и легче читаться вот именно по ней и продолжай учить ассемблер. (вполне возможно что это будет даже несколько книг)
Тут у каждой книги свой читатель, бесполезно спрашивать у кого-то какая книга лучше, если кому-то понравится какая-та книга, то это не значит, что другому будет также легко учится по ней.
Когда поймешь, о чем пишет vazonez и изучишь немного базовых команд ассемблера.
Возвращайся в эту тему и попробуй понять то, о чем я писал в предыдущих постах. (пусть это будет для тебя что-то типа "домашнего задания")
Ну а дальше все уже будет зависеть только от тебя...

[Dexpire]

Способ замечательный, особенно понравилась прога Exe Killer. Пожелания: прикрутить кнопку для очистки логов. Кстати, кнопка "О программе" не работает.

[anchous54]

после сжатия стаба почему-то не один криптор не работает

[SQIFF]

если стаб криптора до этого уже был сжат, то да, рекомпакт будет ломать стаб, выход или распаковывай стаб перед чисткой или ищи не запакованые стабы или ставь галку в настройках сжимать сжатые файлы( иногда помогает)

[anchous54]

а вот в хамелеоне цифры такие же как ты вводил или другие нада вводить.
з.ы я другой криптор чищу

[anchous54]

подскажи что делать если после перемещение из папки 11 в новую папку остаётся 1 фаил и тот нерабочий

[SQIFF]

б) Initial Offset - обычно берётся на 2000 меньше чем Offset End
если в этом диапазоне не нашлось рабочих файлов, то увеличиваем диапазон
или меняем значение Complete With

[anchous54]

всё теперь поняно

[Multik]

Обновил программу AVPizda до версии v0.3.03 - Alpha
Теперь все то, что показано на видео, в AVPizd'е можно сделать при помощи нажатия нескольких кнопок.
В этой теме /showthread.php?t=15799 я подробно постарался описать все и что нужно делать, надеюсь, понятно будет всем.
Я посмотрел несколько стабов, которые продержались больше недели, посмотрел те места, где были изменены и нашел оптимальный диапазон, где нужно менять байты, программа сама находит это место в запакованных файлах PECompact'ом и поэтому не требуются Chameleon Offset Locator 2.0, Codejock.Controls.v13.0.0.Demo.ocx, WinHex и подобный шлак, ебля с папками и прочим, а также в AVPizd'у был добавлен функционал, который значительно превосходит по возможностям, чем это сделано (судя по всему за деньги) в ExeKiller...
То, что делает эта программа за час, в ручную (как это показано на видео) вам понадобится делать пару дней!
Теперь вот каждый может иметь свой уникальный стаб в одни руки, которой может "жить" неделями...

[SQIFF]

новая версия ExeKiller, много улучшений (полностью переработан код), скорость увеличена в разы зависит от железа, на моём компе 100 файлов в сек. (старая версия 1-5 файла в сек)



тот , кто в теме знает для чего эта прога, остальные читайте тему с начала и изучайте))
фрамеворк нужен 4 для работы
пишите если будут глюки, поправим

скачать [Ссылки могут видеть только зарегистрированные пользователи.]

пароль

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[fullhack]

Цитата:

Сообщение от SQIFF

новая версия ExeKiller, много улучшений (полностью переработан код), скорость увеличена в разы зависит от железа, на моём компе 100 файлов в сек. (старая версия 1-5 файла в сек)

перезалейте плиз у кого есть

[SysWOW64]

Цитата:

Сообщение от fullhack

перезалейте плиз у кого есть

[Ссылки могут видеть только зарегистрированные пользователи.]

[Dexpire]

Цитата:

Сообщение от miniam

Залей видео пожалуста1

Цитата:

Сообщение от SQIFF

1.чистка стаба криптора от Авиры (видео) [Ссылки могут видеть только зарегистрированные пользователи.]

2. продолжение чистим от Каспера (видео) [Ссылки могут видеть только зарегистрированные пользователи.]

3. чистка от ClamAV (UNIX version) видео [Ссылки могут видеть только зарегистрированные пользователи.]

А это что?

[Аноним]

Загрузи simpler.exe

[Dexpire]

Цитата:

Сообщение от Аноним

Загрузи simpler.exe

всё есть в архиве "нужные проги для чистки.rar"

[Anonymovich]

Цитата:

Сообщение от Аноним

Загрузи simpler.exe

Может "simple.exe"?
В архиве глян, там папка "мини прогр. для тестов" и там есть она.

[Anonymovich]

Понятный и полезный способ, ша будем тестить на практике Печаль, то, что без звука С меня спасибка)

[kxp]

Из темы много узнал, а вообще, лучше бы статью, чем видос.

[perlone]

Господа, пожалуйста перезалейте на Яндекс.Диск или RGHost, а то некоторые ролики недоступны на sendspace.

[SysWOW64]

По просьбам работяг перезалил видео !
3 видео от SQIFF'a - [Ссылки могут видеть только зарегистрированные пользователи.] -------- [Ссылки могут видеть только зарегистрированные пользователи.]
И одно видео от Apple96 + программы - [Ссылки могут видеть только зарегистрированные пользователи.] ------- [Ссылки могут видеть только зарегистрированные пользователи.]

Private exe Protector 3.1.4 + Crack подойдёт для обхода авиры

[Apple96]

Цитата:

Сообщение от SysWOW64

По просьбам работяг перезалил видео !

Private exe Protector 3.1.4 + Crack подойдёт для обхода авиры

Оо) мой видос)) если надо, могу еще запилить)

[SysWOW64]

Цитата:

Сообщение от Apple96

Оо) мой видос)) если надо, могу еще запилить)

Давай конечно =) С удовольствием посмотрим