Krypton_7.1 - исходники криптора на С++ за 5000$

[SysWOW64]

Данный исходник предоставлен в целях ознакомления и изучения. Создатель темы не несет ответственности за верное\неверное использование исходника программы !
Скрин исходника (можно увеличить кликом):



Сами исходники.

Там 3 проекта:
начальный обработчик + морфер + сам стаб
генератор мусора
морфер иконок

Krypton_7.1.rar
File Size: 59.21MB
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: j[utrw458978-=oojuy

Krypton_7.1_.7z
File Size: 10.55MB
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: ;k'jurwer4587[i"PIHGLUYFD67-0i0'ouihb;lkj';lju7t7yt;ouih

Krypton_7.1.7z
File Size: 10.54MB
более стабильная версия (намного меньше битых файлов) + предупреждает, если файл бьется - выскочит предупреждение, что надо рекриптонуть
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: 788658rkuflhg.ih;7ut6rkUFLIUGH:UTI&%^4r4roiuh;oug

Небольшой мануал от автора.

AV.rar
File Size: 1.24KB
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: liyfyrdsyreytiuJBLH

AV2.rar
File Size: 580B
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
Пароль: j;iy56$#$goutdyeasytfui9876

Для компиляции вам понадобится: Visual Studio 2010 и Visual Assist X 10.7(устанавливать после установки vstudio)

Visual Studio 2010 Ultimate Rus
[Ссылки могут видеть только зарегистрированные пользователи.] или
[Ссылки могут видеть только зарегистрированные пользователи.]
[Ссылки могут видеть только зарегистрированные пользователи.] - Eng версия

Visual Assist X 10.7 - ставить после установки студии
[Ссылки могут видеть только зарегистрированные пользователи.]

Файл на крипт должен находится в папке bin.

Скрытый текст

1. Сорцы состоят из 2-х проектов
Generator и TlsStub, остальные проекты - это наброски на будущее, для крипта dll
2. Есть много вспомогательных утилит (папка Bin\PlugIn):
pmorph.dll - полиморфный генератор;
selfscan.dll и PESniffer.dll - определяют был ли файл на входе чем-то упакован;
если был упакован upx.exe - распаковываем;
Там еще есть морфер иконок, и много всякого, в данной версии не юзаются.
Есть еще утилита ScompX.exe в папке Bin
(она в солюшен не включена, т.к. редко есть необходимость её править), но сорцы там её присутствуют.
При ребилдинге, происходит следущее:
1. Есть TlsStub - это сам стаб с загрузчиком, в секцию кода помещается зашифрованный код
целевого файла, чем занимается ScompX.exe;
2. Generator - создает на выходе файл Morph.exe, который морфит стаб, с зашитым уже туда туда файлом
3. На выходе файл TlsStub.exe (в папке Bin) - это результат криптовки
4. На входе - bot.exe (хотя имя можно поменять в опциях проекта TlsStub->События построения до и после);
Карманная книжка по чистке. Часть 1 из 42.

NOD - сигнатуры/импорт, + количество функций и их порядок, убрать ntdll.dll из импорта, данные
Avast - сигнатуры в данных
VBA - эмуляция, поставил длинный цикл
GData - импорт, ругается на мультимедиа, поставить оптимизации
Panda - желательно присутствие user32.dll
Avira - желательно кодовубю секцию поставить на запись, добавить дебаг директорию !!!base64 сделать
Panda - сигнатуры/ЭНТРОПИЯ
KAV - разрежить код фейковыми DBGPRINT + импорт(иногда)
MSE - то же что KAV
BitDefender - прикопался к GetProcAddress (ntdll & kernel); Побольше импорта левого.


1.Если будет палиться NOD-ом, можно попробовать убрать оптимизации в свойствах StubNew:
Проект->Свойства StubNew->C/C++->Оптимизация: Оптимизация - поставить "Отключено", Предпочитать размер или скорость - поставить "Никакой"
2.Если будет палить битдеф и друзья и если нужно срочно криптонуть, то можно в свойствах StubNew:
Проект->Свойства StubNew->Компоновщик->Отладка - поставить "Создавать отладочную информацию" - "Да", но будет палить один Аваст.
3. Можно играться с флагами в StubNew.h: DBG_FAKE, DBG_OK, TLS(будет заюзана TLS), ANTIDEBUG, PREDBG;
4. Можно убирать / добавлять фейк импорты в StubNew.cpp: InitInstance (там есть комментарии);
5. Можно менять точку входа на стабовую от MS (CRT) - EntryPoint менять на _tWinMain, соответственно убрав в свойствах StubNew:
Проект->Свойства StubNew->Компоновщик->Дополнительно->Точка Входа;
6. Можно заниматься перестановками импорта самому в свойствах StubNew:
Проект->Свойства StubNew->Компоновщик->Ввод->Дополнительные зависимости
-----------------------------------------------------------------------------------------------------------------------------------------
SDK для разработчиков малвари, часть 1 из 4

1. Генерация трешкода после прохода моим морфером:
Метки:

__asm{hlt} _asm{cli} _asm{cld}
....сколько угодно _asm{nop}


Все это будет заменено "мусорным" кодом, единственно тут нужно учесть что это нельзя вставлять в длинные циклы,
т.к. этот треш морфленый (в основном арифметика) будет жрать процессорное время, хотя это очень полезно от эмуляторов,
например таких как VBA

Что это даст: сигнатуры в вашей начинке в памяти будут всегда разные от крипта к крипту.