Crypter

Iniciado por CamaleonB, 14 Enero 2008, 04:52 AM

0 Miembros y 2 Visitantes están viendo este tema.

CamaleonB

Necesito saber donde encuentro algo de teoria sobre la creacion de un crypter como los que dejan los troyanos indetectables....No pido codigo (aunque si quieren me ayudaria tambien bastante), solo algo de indicacion por que le he pensado y no se me ocurre..

salu2 y gracias

~~

Anda que no se habrá hablado esto por el foro, es mas unos pocos posts mas abajo tienes la misma pregunta:
https://foro.elhacker.net/index.php/topic,195508.0.html

Resumiendo y para q les valga a los q tengan la misma duda, lo primero es conocer BIEN el PE, si no lo conoces al dedillo no vas a ninguna parte y luego hay varios metodos, mediante inyeccion, poniendo en el archivo unos opcodes q desencripten en memoria.... pero lo mas importante es buscar, q ya se ha hablado muuuuuucho

CamaleonB

Pues si habia visto ya esto, lo que sucede es que alli no se explica nada de teoria acerca de lo que pido, lo unico que se hace es crear una discusion en torno a la forma de preguntar del que creo el post, cosa que poco me interesa....

Y si tube tiempo de usar el buscador y fue lo unico que encontre, asi que agradeceria otra respuesta mas concreta..

salu2

~~

#3
Pues muy bien no has buscado, por q te prometo q se a tratado  :P Pero weno, te explico un poco:

Lo primero es q te leas esto de arriba a abajo (te recomiendo q tomes anotaciones):
http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.doc

Si el link no te va prueva este y dale a agree y ya te bajas el doc:
http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx

Ese doc contiene todo lo que necesitas saber sobre el PE.

Una vez te lo hallas leido bien (insisto en que es fundamental leerselo todo!!!) ya puedes empezar a codear ^^ Pero antes tienes que elegir el metodo con el que quieres hacer tu cripter, yo te recomiendo el siguiente:

  • Encriptas con cualkier funcion el archivo deseado, te recomiendo q si no eres muy weno en asm no hagas una funcion muy dificil, q luego te va a tocar pasarla a asm. Claro está q no puedes cifrar todo el archivo ahí a lo loco tienes q respetar el PE, q si no te cargas el archivo, ah! y te recomiendo que no encriptes la sección .resource q si no te cargas el icono, aunke si no te kieres complicar encriptala tb ;)

  • Ahora tienes dos opciones, añades una nueva sección al ejecutable o amplias el tamaño de la última y en el hueco q te hagas añades unos opcodes q se encarguen de descifrar el archivo en memoria, esto es lo q tienes q hacer en asm. (tb pudes meter los opcodes en algun hueco libre dl ejecutable, aunke lo primero es mas generico)

  • Cambias el EntryPoint (y claro está, todos lo datos necesarios para añadir/ampliar la seccio xD) para q apunte a tus opcodes y listo


    Para conocer mas metodos googlea y busca por el foro (incluido el subforo de troyanos y virus)  q esto ya lo e explicado varias veces... cuando empieces a codear pregunta dudas

    Salu2

    EDITO - Se me olvidaba, tras los opcodes n puede faltar un jmp al OEP xD

SheKeL_C$

Y en español ??

~~

Ves, por eso estoy harto de los post sobre cripters... a q no te has leido la documentación q he dicho q era fundamental leer para poder hacer un cripter?

No podemos estudiar por ti, si no tienes una buena base sobre el PE y sobre como funciona internamente un ejecutable, como pretendes modificarlo? es como el q intenta arreglar un coche sin haber visto un motor en su vida... por muy clarito q se lo explikes, si no sabe ni lo q es un piston...

1º Leer
2º Buscar
3º Preguntar

Tughack


CamaleonB

#7
Muy bien muchas gracias, algo como el post de EON era lo que buscaba, ya mismo me pongo a estudiar ese manual a ver si le cojo el hilo xD


A y ya lei tu el articulo que me recomendaste de ezine sobre binders y esta muy bien, felicidades, pues esta entendible y eso es dificil de conseguir..

Y la teoria que citaste la entendi perfectamente, solo me falta saber como pasarla a la practica en vb, pues lo que citaste se aprende en principios de cracking..

Tambien quiero formular una nueva pregunta..De todos los lenguajes que conocen ....Asm Realiza funciones mas rapidamente comparado con otros lenguajes ?? o hay alguno que lo supere..

salu2

~~

CitarMuy bien muchas gracias, algo como el post de E0N era lo que buscaba, ya mismo me pongo a estudiar ese manual a ver si le cojo el hilo xD

Espero q valga para mas gente, asi no tendré q contarlo mas xDD de todas maneras, para dejar el hilo zanjado y mas completo, sobre el metodo de inyeccion podria ilustrarnos Tughack  :P

CitarA y ya lei tu el articulo que me recomendaste de ezine sobre binders y esta muy bien, felicidades, pues esta entendible y eso es dificil de conseguir..

Gracias  ::) Ahora estoy haciendo uno de rootkits y por el foro tengo otro de troyanos en Vb y C++, por si te interesa el malware ^^


CitarTambien quiero formular una nueva pregunta..De todos los lenguajes que conocen ....Asm Realiza funciones mas rapidamente comparado con otros lenguajes ?? o hay alguno que lo supere..

Pues por google hay varias comparativas, aki tienes una de ellas:
http://shootout.alioth.debian.org/

Curiosamente no aparece asm, aunke yo creo q asm debe ser el mas rapido y el q genera ejecutables mas pekeños ;) (tampoco lo he comparado con todos los lenguajes del mundo como comprenderas xD)