FuckAV - Форум о крипторах

Анонимный антивирусный сканер VPN-сервис
[Copi]Team DDoS Service

SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN

Реклама на форуме | Помощь форуму | Аварийный блог

Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!!

Вернуться  

Статьи Раздел с интересными статьями!

Для того, чтобы ответить в теме, необходимо зарегистрироваться.
 
Опции темы Опции просмотра
Prev Предыдущее сообщение   Следующее сообщение Next
Старый 12-09-2013   #1
Multik

Windows v.3.0

Последняя активность:
3 дн. назад
Регистрация: 11.12.2012
Сообщений: 35
Поблагодарили всего: 253
за это сообщение: 17
По умолчанию AVPizda

[Ссылки могут видеть только зарегистрированные пользователи.]
Запилил на днях прогу и решил сегодня сделать релиз для тестов. Хочу посмотреть есть ли перспективы для дальнейшего развития такого софта.

Эта альфа версия, даже не бета. Поэтому ЮЗАТЬ ТОЛЬКО НА ВИРТУАЛКЕ! (Запускать софтинку нужно из-под админа.)
Данная версия (v0.1.00 - Alpha) будет работать только со стабами упакованными PECompact'ом

Добавил из GUI-функционала:
Always On Top в системное меню
Drag&Drop с обработкой ярлыков
Там где нужно вводить цифры можно значения менять с помощью клавиш вверх (UP) и вниз (DOWN) при нажатии которых значение будет увеличиваться или уменьшаться на 1, а если нажимать вместе с Ctrl значение будет увеличиваться или уменьшаться на 100. (считаю что так удобнее, чем всякие там стрелочки, которые в Delphi реализованы через жопу.)

Теперь немного подробнее о том, как юзать авпизденочку, вернее это даже можно назвать статьей.
Для тестов понадобится паблик криптор наподобие Da Vinci (/showthread.php?t=15013), то есть криптор, у которого есть в наличии стаб.
Вот этот самый стаб нужно упаковать PECompact'ом далее закриптовать *.exe файл (к примеру, билд UFR'а) и вот этот закриптованный файл уже отдать на обработку AVPizd'е
Принцип работы AVPizd'ы прост, ищется сигнатура конца PECompact'а, далее определяется диапазон кода, который будет рандомно патчится и запускается механизм патчинга, при этом софт будет запускаться и проверяться на работоспособность - это также является одной из причин, почему нужно юзать AVPizd'у только на виртуалке.
О быстрых настройках: (Quick Options)
Number of Attempts - здесь нужно установить количество попыток патчинга и проверки на работоспособность закриптованного файла.
Т. е. выбирается рандомно из диапазона кода смещение в файле и патчится случайным значением и запускается, это процесс будет повторяться столько раз сколько указано в Number of Attempts.
Time-out Interval (ms) - здесь нужно установить время в миллисекундах в течение, которого будет определяться, отработал ли закриптованный файл нормально или нет.
К примеру, для закриптованного билда UFR'а достаточно 2000 (2 секунд), но на данный параметр могут влиять различные нюансы такие как, например железо (если комп мощный, то это значение может быть 500 или даже 150) или задержка у трояна после старта и т. д.
В окно Log будут сваливаться гуды, но хотелось бы отметить тот факт, что вся информация дублируется и сохраняется в файлы Patch.log
Формат следующий:
Название файла, смещение в файле, старое значение байта, новое значение байта (то, что в скобках указывается в десятичном варианте, а то, что без скобок в шестнадцатеричном варианте).
В статус строке появляются сообщения об ошибках или каких-то событиях.
При нажатии на кнопку старт запускается процесс патчинга, но в любой момент можно этот процесс остановить, нажав на кнопку стоп.
Теперь о настройках:

В Captions можно добавлять названия заголовков тех окон, чьи процессы нужно убить, если они появляются в результате запуска при тестировании закриптованных файлов.
Стоит также отметить, что можно использовать часть названия заголовка окна процесса, которого нужно убить. Например: если заголовок окна 006.pecompact_result3150.exe, то можно написать pecompact_result3150 и все окна, имеющие в заголовке такую строку, будут убиты.
Также в этот же раздел нужно добавлять те названия заголовков окон которые будут выступать как факт того что крипт отработал нормально, к примеру, это может понадобиться, если для чистки и тестов криптуется какой-нибудь HelloWorld или Calculator.
Проверяться будут все названия заголовков, но если какие-то не нужны, то их можно отключить на время сняв соответствующую галочку.
В Error Captions можно добавлять названия заголовков тех окон, которые появляются в процессе ошибок при запуске.
В качестве примера можно увидеть частенько окна, которые будут появляться с заголовком Application error - это окно появляется в результате ошибки при распаковке PECompact'а, но при этом формально системной ошибки или падения тестового сэмпла нет. Для того чтобы такие файлы не попадали в гуд, нужно названия заголовков таких окон добавлять в Error Captions.
Error Captions - имеет более высокий приоритет, чем Captions.

После того как AVPizda закончит свою работу в папке рядом со стабом появится папка tmp001 в ней и будет находиться все файлы, если папка tmp001 уже существует то будет создана tmp002 и т. д., таким образом можно дрочить до бесконечности...
В папках tmpXXX будут находиться гуды и файл Patch.log, в котором будет инфа о том, какой байт пропатчен (смещение в файле, старое и новое значение байта).
То, что в скобках указывается в десятичном варианте, а то, что без скобок в шестнадцатеричном варианте.
В папке также будет появляться папка bad, в ней будут все файлы, которые при запуске выдавали ошибки, а также файл Patch.log
После проверки папки tmpXXX антивирусами, оставшиеся файлы и есть те, которые нужны, далее в файле Patch.log находим эти файлы и патчим в Hex-редакторе по смещению в фале теми значениями, которые будут в этом файле.
После проверки будет оставаться мало файлов и пред тем как патчить в Hex-редакторе лучше их на всякий случай перепроверить и запустить повторно, чтобы убедится, что все работает.

Подведем итоги:
На данном этапе это просто тестовый вариант, поэтому выслушаю предложения по улучшению юзабильности, а также идеи о том, что нужно добавить, убрать или изменить из функционала.
У меня, к сожалению, не так много есть свободного времени на подобные тесты.
Но в результате проделанных тестов, заметил закономерность, что из 10 попыток в среднем получается один рабочий вариант.
Сделал 200 попыток, получил 19 рабочих вариантов, проверил все файлы Kaspersk'им все рабочие файлы задетектились и около 50 из папки bad оказались чистыми, но они не рабочие.
Х.з. может, если сделать 1000 попыток что-то и почистится...
Короче считаю такие FUD чистки - это реальное дрочево (по-другому и назвать-то не могу), даже если почистится, то при первом же прогрузе на трафе в 3-5k такой крипт умрет, не успев появиться из авпизденочки.
Посмотрел этот хваленый почищенный стаб Da Vinci, который чистым продержался месяц, оказалось, что там пара байт запатчены так, что на большинстве компов закриптованный файл будет не рабочим.
Kaspersk'ий (как и многие другие) естественно будет показывать Ok, так как стаб бажный, ему нужен реально рабочий, только в этом случае он покажет реальный результат.
Avira не палит из-за того самого единственного..., кстати я добавил в AVPizd'у этот "волшебный патч", так что пока Avira не закроет этот байт, она будет в большинстве случаев выдавать что файл чистый.



Добавлено через 88 часов 52 минуты


[Ссылки могут видеть только зарегистрированные пользователи.]



Добавил из GUI-функционала:
Сворачивание в системный трей (включить можно в настройках)
Drag&Drop папок (для тестового режима)
Добавил пиздОиконку.

Улучшено:
В окне Log'а в конце будет выводиться результат в формате Good: 10; Bad: 100.
Теперь в файлы логов (в режиме Patch) вся инфа пишется сразу.
В статус строке показан текущий режим.
Немного оптимизировал механизм патчинга и теперь по идее должен в 2 раза лучше "чистить" стабы упакованные PECompact'ом. (рекомендуемое количество попыток не менее 20)

Пофиксил пару мелких баг.

Добавлено:
Новый режим Test, который позволяет тестировать *.exe файлы в выбранной папке.
Чтобы включился тестовый режим - нужно просто выбрать папку (кнопка [...] или перетащить папку на окно AVPizd'ы), в которой будут находиться файлы, которые нужно проверить на работоспособность.
В режиме тестирования никаких файловых логов не ведется, гуды записываются в окно Log'а и в конце выводится результат тестов.
Если ничего не выбрано, то при нажатии на кнопке Старт будет появляться окно для выбора стаба (режим Patch), если нажать Отмена, то появится окно для выбора папки (режим Test).
Теперь в окне Log'а (в режиме Patch) будет появляться предупреждение о том, что нужно установить подходящее значение Time-out Interval. (скорее всего его нужно увеличить.)

Теперь немного подробнее о режиме Test:
Этот режим нужен для того чтобы проверить файлы на работоспособность. К примеру, нужно проверить те файлы, которые "чистились" прогой Chameleon Offset Locator.
Если стаб чистится от одного антивируса, то тут лучше проверить папку с файлами вначале антивирусом, а уже после этого оставшиеся файлы проверить на работоспособность AVPizd'ой.
А вот если чистка делается от нескольких антивирусов (допустим от трех Avira, Kaspersky и Dr.Web), то тогда нужно проверить папку с файлами вначале AVPizd'ой, удалить папку bad и сделать копии папок с файлами для каждого антивируса.
Далее уже проверять каждую папку своим антивирусом.
Стоит отметить, что чем меньше значение Time-out Interval, тем больше гудов будет попадать в папку bad, но процесс тестов по времени будет быстрее. Если Time-out Interval будет большим, то тогда процесс тестов по времени будет медленнее, но процент того что гуд попадет в папку bad будет низким.

Последний раз редактировалось Multik; 16-09-2013 в 15:10. Причина: Добавлено сообщение
Multik вне форума  
Сказали спасибо:
Graxcon (05-05-2014), deity (10-03-2014), IBM (23-12-2013), ShadowFrench (19-10-2013), upO (06-10-2013), Deymos (24-09-2013), mazafaka2026 (23-09-2013), MultiJack (20-09-2013), Dark Koder (14-09-2013), denis187500 (13-09-2013), SysWOW64 (13-09-2013), dzhoka (13-09-2013), Dave (13-09-2013), St.Patrick (13-09-2013), olegteror (12-09-2013), † Voland † (12-09-2013), POCT (12-09-2013)
Для того, чтобы ответить в теме, необходимо зарегистрироваться.

Метки
avpizda, nodistribute, patch, radikal, result, size, trojan, windows, будет, даже, если, защиту, кода, много, можно, надо, нужно, после, потом, программой, просто, сделать, твоей, файл, чистки


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Часовой пояс GMT +3, время: 16:53.



Powered by vBulletin® Copyright ©2000 - 2014, Jelsoft Enterprises Ltd. Перевод: zCarot
Други: SEO блог Deymos'a| ProLogic.Su| DServers.ru| Форум веб-мастеров