Crypter

CamaleonB · 14 Enero 2008, 04:52 AM

Necesito saber donde encuentro algo de teoria sobre la creacion de un crypter como los que dejan los troyanos indetectables....No pido codigo (aunque si quieren me ayudaria tambien bastante), solo algo de indicacion por que le he pensado y no se me ocurre..

salu2 y gracias

~~ · 14 Enero 2008, 16:49 PM

Anda que no se habrá hablado esto por el foro, es mas unos pocos posts mas abajo tienes la misma pregunta:
https://foro.elhacker.net/index.php/topic,195508.0.html

Resumiendo y para q les valga a los q tengan la misma duda, lo primero es conocer BIEN el PE, si no lo conoces al dedillo no vas a ninguna parte y luego hay varios metodos, mediante inyeccion, poniendo en el archivo unos opcodes q desencripten en memoria.... pero lo mas importante es buscar, q ya se ha hablado muuuuuucho

CamaleonB · 14 Enero 2008, 18:47 PM

Pues si habia visto ya esto, lo que sucede es que alli no se explica nada de teoria acerca de lo que pido, lo unico que se hace es crear una discusion en torno a la forma de preguntar del que creo el post, cosa que poco me interesa....

Y si tube tiempo de usar el buscador y fue lo unico que encontre, asi que agradeceria otra respuesta mas concreta..

salu2

~~ · 14 Enero 2008, 21:00 PM

Pues muy bien no has buscado, por q te prometo q se a tratado

Pero weno, te explico un poco:

Lo primero es q te leas esto de arriba a abajo (te recomiendo q tomes anotaciones):
http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.doc

Si el link no te va prueva este y dale a agree y ya te bajas el doc:
http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx

Ese doc contiene todo lo que necesitas saber sobre el PE.

Una vez te lo hallas leido bien (insisto en que es fundamental leerselo todo!!!) ya puedes empezar a codear ^^ Pero antes tienes que elegir el metodo con el que quieres hacer tu cripter, yo te recomiendo el siguiente:

Encriptas con cualkier funcion el archivo deseado, te recomiendo q si no eres muy weno en asm no hagas una funcion muy dificil, q luego te va a tocar pasarla a asm. Claro está q no puedes cifrar todo el archivo ahí a lo loco tienes q respetar el PE, q si no te cargas el archivo, ah! y te recomiendo que no encriptes la sección .resource q si no te cargas el icono, aunke si no te kieres complicar encriptala tb
Ahora tienes dos opciones, añades una nueva sección al ejecutable o amplias el tamaño de la última y en el hueco q te hagas añades unos opcodes q se encarguen de descifrar el archivo en memoria, esto es lo q tienes q hacer en asm. (tb pudes meter los opcodes en algun hueco libre dl ejecutable, aunke lo primero es mas generico)
Cambias el EntryPoint (y claro está, todos lo datos necesarios para añadir/ampliar la seccio xD) para q apunte a tus opcodes y listo

Para conocer mas metodos googlea y busca por el foro (incluido el subforo de troyanos y virus) q esto ya lo e explicado varias veces... cuando empieces a codear pregunta dudas

Salu2

EDITO - Se me olvidaba, tras los opcodes n puede faltar un jmp al OEP xD

SheKeL_C$ · 14 Enero 2008, 22:10 PM

Y en español ??

~~ · 15 Enero 2008, 00:13 AM

Ves, por eso estoy harto de los post sobre cripters... a q no te has leido la documentación q he dicho q era fundamental leer para poder hacer un cripter?

No podemos estudiar por ti, si no tienes una buena base sobre el PE y sobre como funciona internamente un ejecutable, como pretendes modificarlo? es como el q intenta arreglar un coche sin haber visto un motor en su vida... por muy clarito q se lo explikes, si no sabe ni lo q es un piston...

1º Leer
2º Buscar
3º Preguntar

Tughack · 15 Enero 2008, 02:21 AM

Cita de: SheKeL_C$ en 14 Enero 2008, 22:10 PM
Y en español ??

lol, este tipo de posts...

CamaleonB · 15 Enero 2008, 04:33 AM

Muy bien muchas gracias, algo como el post de EON era lo que buscaba, ya mismo me pongo a estudiar ese manual a ver si le cojo el hilo xD

A y ya lei tu el articulo que me recomendaste de ezine sobre binders y esta muy bien, felicidades, pues esta entendible y eso es dificil de conseguir..

Y la teoria que citaste la entendi perfectamente, solo me falta saber como pasarla a la practica en vb, pues lo que citaste se aprende en principios de cracking..

Tambien quiero formular una nueva pregunta..De todos los lenguajes que conocen ....Asm Realiza funciones mas rapidamente comparado con otros lenguajes ?? o hay alguno que lo supere..

salu2

~~ · 15 Enero 2008, 17:50 PM

CitarMuy bien muchas gracias, algo como el post de E0N era lo que buscaba, ya mismo me pongo a estudiar ese manual a ver si le cojo el hilo xD

Espero q valga para mas gente, asi no tendré q contarlo mas xDD de todas maneras, para dejar el hilo zanjado y mas completo, sobre el metodo de inyeccion podria ilustrarnos Tughack

CitarA y ya lei tu el articulo que me recomendaste de ezine sobre binders y esta muy bien, felicidades, pues esta entendible y eso es dificil de conseguir..

Gracias

Ahora estoy haciendo uno de rootkits y por el foro tengo otro de troyanos en Vb y C++, por si te interesa el malware ^^

CitarTambien quiero formular una nueva pregunta..De todos los lenguajes que conocen ....Asm Realiza funciones mas rapidamente comparado con otros lenguajes ?? o hay alguno que lo supere..

Pues por google hay varias comparativas, aki tienes una de ellas:
http://shootout.alioth.debian.org/

Curiosamente no aparece asm, aunke yo creo q asm debe ser el mas rapido y el q genera ejecutables mas pekeños

(tampoco lo he comparado con todos los lenguajes del mundo como comprenderas xD)