FuckAV - Форум о крипторах

Анонимный антивирусный сканер VPN-сервис
[Copi]Team DDoS Service

SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN

Реклама на форуме | Помощь форуму | Аварийный блог

Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!!

Вернуться  

Для того, чтобы ответить в теме, необходимо зарегистрироваться.
 
Опции темы Опции просмотра
Prev Предыдущее сообщение   Следующее сообщение Next
Старый 22-08-2013   #1
SysWOW64

Модератор
 
Аватар для SysWOW64

Последняя активность:
17 час(ов) назад
Регистрация: 15.07.2013
Сообщений: 341
Поблагодарили всего: 668
за это сообщение: 4
Смех Krypton_7.1 - исходники криптора на С++ за 5000$

Данный исходник предоставлен в целях ознакомления и изучения. Создатель темы не несет ответственности за верное\неверное использование исходника программы !
Скрин исходника (можно увеличить кликом):




Сами исходники.

Там 3 проекта:
начальный обработчик + морфер + сам стаб
генератор мусора
морфер иконок

Krypton_7.1.rar
File Size: 59.21MB
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: j[utrw458978-=oojuy

Krypton_7.1_.7z
File Size: 10.55MB
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: ;k'jurwer4587[i"PIHGLUYFD67-0i0'ouihb;lkj';lju7t7yt;ouih

Krypton_7.1.7z
File Size: 10.54MB
более стабильная версия (намного меньше битых файлов) + предупреждает, если файл бьется - выскочит предупреждение, что надо рекриптонуть
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: 788658rkuflhg.ih;7ut6rkUFLIUGH:UTI&%^4r4roiuh;oug

Небольшой мануал от автора.

AV.rar
File Size: 1.24KB
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: liyfyrdsyreytiuJBLH

AV2.rar
File Size: 580B
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: j;iy56$#$goutdyeasytfui9876

Для компиляции вам понадобится: Visual Studio 2010 и Visual Assist X 10.7(устанавливать после установки vstudio)

Visual Studio 2010 Ultimate Rus
[Ссылки могут видеть только зарегистрированные пользователи.] или
[Ссылки могут видеть только зарегистрированные пользователи.]
[Ссылки могут видеть только зарегистрированные пользователи.] - Eng версия

Visual Assist X 10.7 - ставить после установки студии
[Ссылки могут видеть только зарегистрированные пользователи.]

Файл на крипт должен находится в папке bin.


Скрытый текст

1. Сорцы состоят из 2-х проектов
Generator и TlsStub, остальные проекты - это наброски на будущее, для крипта dll
2. Есть много вспомогательных утилит (папка Bin\PlugIn):
pmorph.dll - полиморфный генератор;
selfscan.dll и PESniffer.dll - определяют был ли файл на входе чем-то упакован;
если был упакован upx.exe - распаковываем;
Там еще есть морфер иконок, и много всякого, в данной версии не юзаются.
Есть еще утилита ScompX.exe в папке Bin
(она в солюшен не включена, т.к. редко есть необходимость её править), но сорцы там её присутствуют.
При ребилдинге, происходит следущее:
1. Есть TlsStub - это сам стаб с загрузчиком, в секцию кода помещается зашифрованный код
целевого файла, чем занимается ScompX.exe;
2. Generator - создает на выходе файл Morph.exe, который морфит стаб, с зашитым уже туда туда файлом
3. На выходе файл TlsStub.exe (в папке Bin) - это результат криптовки
4. На входе - bot.exe (хотя имя можно поменять в опциях проекта TlsStub->События построения до и после);
Карманная книжка по чистке. Часть 1 из 42.

NOD - сигнатуры/импорт, + количество функций и их порядок, убрать ntdll.dll из импорта, данные
Avast - сигнатуры в данных
VBA - эмуляция, поставил длинный цикл
GData - импорт, ругается на мультимедиа, поставить оптимизации
Panda - желательно присутствие user32.dll
Avira - желательно кодовубю секцию поставить на запись, добавить дебаг директорию !!!base64 сделать
Panda - сигнатуры/ЭНТРОПИЯ
KAV - разрежить код фейковыми DBGPRINT + импорт(иногда)
MSE - то же что KAV
BitDefender - прикопался к GetProcAddress (ntdll & kernel); Побольше импорта левого.


1.Если будет палиться NOD-ом, можно попробовать убрать оптимизации в свойствах StubNew:
Проект->Свойства StubNew->C/C++->Оптимизация: Оптимизация - поставить "Отключено", Предпочитать размер или скорость - поставить "Никакой"
2.Если будет палить битдеф и друзья и если нужно срочно криптонуть, то можно в свойствах StubNew:
Проект->Свойства StubNew->Компоновщик->Отладка - поставить "Создавать отладочную информацию" - "Да", но будет палить один Аваст.
3. Можно играться с флагами в StubNew.h: DBG_FAKE, DBG_OK, TLS(будет заюзана TLS), ANTIDEBUG, PREDBG;
4. Можно убирать / добавлять фейк импорты в StubNew.cpp: InitInstance (там есть комментарии);
5. Можно менять точку входа на стабовую от MS (CRT) - EntryPoint менять на _tWinMain, соответственно убрав в свойствах StubNew:
Проект->Свойства StubNew->Компоновщик->Дополнительно->Точка Входа;
6. Можно заниматься перестановками импорта самому в свойствах StubNew:
Проект->Свойства StubNew->Компоновщик->Ввод->Дополнительные зависимости
-----------------------------------------------------------------------------------------------------------------------------------------
SDK для разработчиков малвари, часть 1 из 4

1. Генерация трешкода после прохода моим морфером:
Метки:

__asm{hlt} _asm{cli} _asm{cld}
....сколько угодно _asm{nop}


Все это будет заменено "мусорным" кодом, единственно тут нужно учесть что это нельзя вставлять в длинные циклы,
т.к. этот треш морфленый (в основном арифметика) будет жрать процессорное время, хотя это очень полезно от эмуляторов,
например таких как VBA

Что это даст: сигнатуры в вашей начинке в памяти будут всегда разные от крипта к крипту.


Последний раз редактировалось SysWOW64; 23-08-2013 в 22:50.
SysWOW64 вне форума  
Сказали спасибо:
beam (30-10-2013), denis187500 (22-08-2013), airstrike (22-08-2013), POCT (22-08-2013)
Для того, чтобы ответить в теме, необходимо зарегистрироваться.

Метки
------, crypter, crypter c++ source code, generator, krypton, ntundoc, scomp, source, source c++, время, исходники, криптор на с++, криптора, построение, разные, такая, файл


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Хакерам заплатили $5000 за найденную уязвимость в ВКонтакте chef Новости 5 12-08-2013 12:34
[VB] Исходники крипторов - 18 шт. POCT Visual Basic 3 02-12-2012 22:57
Исходники Stepler Помощь 1 08-01-2012 14:55
Fortinet выпускает высокоскоростную систему безопасности для FortiGate-5000 IZVERG Новости 0 02-12-2010 10:16

Часовой пояс GMT +3, время: 05:40.



Powered by vBulletin® Copyright ©2000 - 2014, Jelsoft Enterprises Ltd. Перевод: zCarot
Други: SEO блог Deymos'a| ProLogic.Su| DServers.ru| Форум веб-мастеров