crypter en vb

Iniciado por egiptoelcairo, 19 Mayo 2010, 15:42 PM

0 Miembros y 1 Visitante están viendo este tema.

egiptoelcairo

hola buenas estoy introducioendome en el mundo de programar crypter ahora bien tengo una duda exactamente que hace que unos crypters sean detectados por antivirus y otros no? la clave de encrptacion ? la variable separadora u otra cosa ?  el crypter utiliza rc4

ignorantev1.1

Sera que la mayoria de los crypters contienen trozos de programa que ya estan "fichados"... aunque los crypters no son detectados, los programas generados por ellos si y estos son detectados debido a las signaturas que utilizan ya que la mayoria son iguales. Necesitas ser un poquito original para evadir al antiviruz para por lo menos ser inmune 1 semana  :D...

verjo

Por las apis peligrosas,heuristica y mas cosas.

salu2! ;)

Elemental Code

lo detectado de un cripter es el Stub.
Es el fragmento de software que le indica al ejecutable final como tiene que hacer para que el programa funcione.

Aver si te lo esplico mas grafico.

este asi se ve tu virus


V
I
R
U
S


el cripter basicamente cifra el fichero y le añade un separador (que voy a representar con #) y un stub que sabe como "Rearmar" el archivo.

Tu archivo cifrado quedaria asi:


R
I
U
V
S
#
Codigo Stub


El stub es el que recuerda que parte de tu programa original movio a que lugar y sabe como ponerlo de buelta en su lugar para que ande.

Resumiendo: El codigo Stub es detectado porque las empresas antivirus saben esto que te estoy explicando y lo añaden a sus firmas :D

I CODE FOR $$$
Programo por $$$
Hago tareas, trabajos para la facultad, lo que sea en VB6.0

Mis programas

Horricreu

#4
A ver, no tiene más secreto que hacer: ReadFile() + CreateFile(). Una vez tengas el buffer lo ofuscas, mejor que no sea XOR y estos típicos ya que son muy detectados. Lo típico, crea uno tú mismo y el rollo de siempre. Una vez tengas ofuscado el buffer sobrescribes los datos con WriteFile().

Crear un simple ofuscador de ficheros indetectable es así de sencillo, pero claro, si quieres cifrar ejecutables ya tendrás que estudiarte el formato PE, que es bastante más complicado.

Saludos :P

PD: siento decir lo de simpre, pero se deben dejar las cosas ya de una vez claras :xD :)

[L]ord [R]NA

en caso de que quieras crear tu propia rutina de encriptacion aqui tienes algo

http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_introduccion_al_diseno_de_rutinas_de_encriptacion-t273035.0.html

manel92

segun tengo entendido por ejemplo avira detecta el codigo que usa el programa para autoleerse

[L]ord [R]NA

Cita de: manel92 en 26 Mayo 2010, 11:24 AM
segun tengo entendido por ejemplo avira detecta el codigo que usa el programa para autoleerse

Algunos Stub crean un proceso suspendido y lo sobreescriben. asi no te modificas a ti mismo.