Очень доступное и понятное видео как чистить софтинку от VaZoNeZ'a.
Вот статьи на эту же тему:
Нужный софт:
1) Free Hex Editor (
2) OllyDbg v1.10 (
3) [SD] SignDetect (
4) PEiD v0.95 (
Еще один видео мануал от не без известного NoX'a
СКАЧАТЬ ВИДЕО:
Нужный софт:
Camaleon Offset Locator 2.0 + OCXСкачать :
Еще одна чистка стаба с помощью изменения имени системных .dll.
СКАЧАТЬ ВИДЕО:
Нужный софт:
Stand Alone Xpress 2скачать :
Еще одно видео по читске джойнера с помощью WinHex'a от наших испанских колег.
Нужный софт:
WinHexскачать :
Чистка крипторов на примере FreeCryptor
Все наверно знаю новое творение GLOF'a под названием
Free Cryptor. Это довольно неплохой криптор exe файлов.
Самое главное что он бесплатный и постоянно обновляется.
GLOF наверно устаёт постоянно чистить его и вот я решил
ему так сказать помочь да и сам разобраться.
Нужный софт:
1)FreeCryptor
Скачать :
2)Fuckav.ru Test Crypters
ну и какой-нибудь маленький ехе (чем меньше - тем лучше)
HeeloWorld как в оригинальной статье не нашел .. так что быстренько накодил мини утилитку для проверки работоспособности криптора. (Fuckav.ru Test Crypters) :
3)WinHex
сам инструмент WinHex Который мы скачаем с офф сайта :
Ну вот открываем мы наш Hello World (или программу которую выбрали вы) в хексе и смотрим сам
код, благо он весит мало и саму структуру запомнить
довольно просто:
Теперь криптуем Free Cryptor'ом и опять же открываем
в WinHex'e и вот начинаем сравнивать криптованый файл
от не криптованого:
как видим до "a.idata" вроде всё одинаковое, а вот после
видим ".AFCryptor" - это имя секции криптора, её можно
переименовать на свой вкус ибо особой роли не играет.
Далее мы видим непонятный текст - это наш зашифрованный
Hello World после до "ssageBoxW" почти всё так же, а вот
после видим некий "стаб" криптора который так сказать
идёт до конца ехе файла:
почти в самом конце видим "FCryptor"....c:\1.exe" ну это
собственно то же имя что и было приписано в имени секции
криптора и путь до криптованого файла, их можно затереть
нафиг, ибо опять же роли не играет =))
а вот теперь давай начнём разбираться со стабом, ибо именно
по нему обычно аверы детектят криптор.
Как же узнать по какой именно сигнатуре ав детектит? Ну
мне на ум нечего не пришло кроме как поочерёдно затирать
по 1 символу и проверять перестал палица или нет.
Ну вот затираем "3", проверяем - палица, затираем "Т",
проверяем - палица, и так далее..... и доходим мы до
последовательности "<.hPT":
видим что после затирания знака "." (а именно его HEX
значения 02) палица перестаёт! Так вот значит это и
есть та сигнатура (или часть её) по которой АВ детектит.
Теперь проверяем на что можно заменить, попробуем
заменить на символ "0" (ноль, его HEX значение "30")
проверяем - не палится, проверяем - работает. Такс а
что же делать если и "0" добавят в базу сигнатур? Тогда
можно заменить на что-то другое, например на HEX
значение "00" и т.д.
Ну вот теперь мы знаем по какой сигнатуре детектит и на
что заменять по этому криптуем уже свой вредоносный код
(будь то пинч или ещё что-то) открываем его в WinHex'e
ищем последовательность байт "8B 02 90 50 54"
находим и меняем в нём HEX значение "02" на "30" к примеру
и сохраняем теперь наш код не палится .....
У вас наверно возник вопрос а как это дело 1 раз сделать
и больше не повторять?? Я расскажу вам для этого
можно исправить сам криптор. Так как криптор запакован
WinUpack'ом его можно распаковать к примеру статик
анпакером который можно скачать тут:
Распаковали, теперь в нём то же ищем последовательность
байт 02 90 50 и заменяем 02 на 00 или 30 или что вам в
голову взбредет =) теперь сохраняем криптор и юзаем его
теперь он очищен :Р
з.ы. теперь примерно таким способом можно чистить и
другие сигнатурные крипторы ) это только пример,
дальше развивайте идею сами
ВСЕ ФАЙЛЫ ПРОВЕРЕННЫ НА СКЛЕЙКУ.
Вот статьи на эту же тему:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
- Часть первая!Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
- Часть вторая!Нужный софт:
1) Free Hex Editor (
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
)2) OllyDbg v1.10 (
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
) 3) [SD] SignDetect (
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
)4) PEiD v0.95 (
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
) Еще один видео мануал от не без известного NoX'a
СКАЧАТЬ ВИДЕО:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Нужный софт:
Camaleon Offset Locator 2.0 + OCXСкачать :
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Еще одна чистка стаба с помощью изменения имени системных .dll.
СКАЧАТЬ ВИДЕО:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Нужный софт:
Stand Alone Xpress 2скачать :
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Еще одно видео по читске джойнера с помощью WinHex'a от наших испанских колег.
Нужный софт:
WinHexскачать :
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Чистка крипторов на примере FreeCryptor
Все наверно знаю новое творение GLOF'a под названием
Free Cryptor. Это довольно неплохой криптор exe файлов.
Самое главное что он бесплатный и постоянно обновляется.
GLOF наверно устаёт постоянно чистить его и вот я решил
ему так сказать помочь да и сам разобраться.
Нужный софт:
1)FreeCryptor
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Скачать :
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
2)Fuckav.ru Test Crypters
ну и какой-нибудь маленький ехе (чем меньше - тем лучше)
HeeloWorld как в оригинальной статье не нашел .. так что быстренько накодил мини утилитку для проверки работоспособности криптора. (Fuckav.ru Test Crypters) :
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
3)WinHex
сам инструмент WinHex Который мы скачаем с офф сайта :
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Ну вот открываем мы наш Hello World (или программу которую выбрали вы) в хексе и смотрим сам
код, благо он весит мало и саму структуру запомнить
довольно просто:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Теперь криптуем Free Cryptor'ом и опять же открываем
в WinHex'e и вот начинаем сравнивать криптованый файл
от не криптованого:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
как видим до "a.idata" вроде всё одинаковое, а вот после
видим ".AFCryptor" - это имя секции криптора, её можно
переименовать на свой вкус ибо особой роли не играет.
Далее мы видим непонятный текст - это наш зашифрованный
Hello World после до "ssageBoxW" почти всё так же, а вот
после видим некий "стаб" криптора который так сказать
идёт до конца ехе файла:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
почти в самом конце видим "FCryptor"....c:\1.exe" ну это
собственно то же имя что и было приписано в имени секции
криптора и путь до криптованого файла, их можно затереть
нафиг, ибо опять же роли не играет =))
а вот теперь давай начнём разбираться со стабом, ибо именно
по нему обычно аверы детектят криптор.
Как же узнать по какой именно сигнатуре ав детектит? Ну
мне на ум нечего не пришло кроме как поочерёдно затирать
по 1 символу и проверять перестал палица или нет.
Ну вот затираем "3", проверяем - палица, затираем "Т",
проверяем - палица, и так далее..... и доходим мы до
последовательности "<.hPT":
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
видим что после затирания знака "." (а именно его HEX
значения 02) палица перестаёт! Так вот значит это и
есть та сигнатура (или часть её) по которой АВ детектит.
Теперь проверяем на что можно заменить, попробуем
заменить на символ "0" (ноль, его HEX значение "30")
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
проверяем - не палится, проверяем - работает. Такс а
что же делать если и "0" добавят в базу сигнатур? Тогда
можно заменить на что-то другое, например на HEX
значение "00" и т.д.
Ну вот теперь мы знаем по какой сигнатуре детектит и на
что заменять по этому криптуем уже свой вредоносный код
(будь то пинч или ещё что-то) открываем его в WinHex'e
ищем последовательность байт "8B 02 90 50 54"
находим и меняем в нём HEX значение "02" на "30" к примеру
и сохраняем теперь наш код не палится .....
У вас наверно возник вопрос а как это дело 1 раз сделать
и больше не повторять?? Я расскажу вам для этого
можно исправить сам криптор. Так как криптор запакован
WinUpack'ом его можно распаковать к примеру статик
анпакером который можно скачать тут:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Распаковали, теперь в нём то же ищем последовательность
байт 02 90 50 и заменяем 02 на 00 или 30 или что вам в
голову взбредет =) теперь сохраняем криптор и юзаем его
теперь он очищен :Р
з.ы. теперь примерно таким способом можно чистить и
другие сигнатурные крипторы ) это только пример,
дальше развивайте идею сами
ВСЕ ФАЙЛЫ ПРОВЕРЕННЫ НА СКЛЕЙКУ.