Archiv verlassen und diese Seite im Standarddesign anzeigen : Info Crypter
trixx_128
09.08.2010, 13:39
Hallo leute,
Hat jemand von euch informationen wie ein Crypter aufgebaut ist.
Wie der vorgang und der ablauf beim crypten verläuft?
Kennt von euch jemand die script sprache autoit3, und ob es möglich wäre mit dieser sprache einen programm zu coden welches das crypten einen servers zu erleichtern?
Danke
Es ist möglich.
Zum Aufbau hier 2 Links:
Google (http://www.google.at/#q=crypter+tutorial&fp=1&cad=b)
Und weil ich gut drauf bin:
SIG^2 G-TEC - Dynamic Forking of Win32 EXE (http://www.security.org.sg/code/loadexe.html)
Ist das runPE PoC
trixx_128
09.08.2010, 14:04
Ja Ja ich weiss es selber das man bei google was finden. Hab schon selber genug gefunden, werde es auch später kurz fassen und hier rein stellen. Ich wollte nur eure meinung fragen eurere erfahrungswerte.
Würdest du den 2. Link verwenden wäre der Post unnötig.
Awa dann erzähl ich dir mal bissl was aus meiner Crypter "Erfahrung".
Also mal angefangen mit den 2 mir bekannten Arten.
Der RunPE-Crypter ist der meist verwendete in der "Scene".
Hier wird ein wieder entschlüsseltes byte[] in einen suspended erstellten Prozess geschrieben.
Ich schätze 99% der Crypter verwenden die RunPE.
RunPE ist die einfachere Art ,da man grob gesagt einfach die Anwendung in den Speicher schreibt.
Die 2. Art nenne ich PE-Protector (weiß nicht ob man es so nennt).
Hier übernimmst du praktisch die Aufgabe des Windows-Loaders.
Du musst natürlich mal die Sections verschlüsseln ,die decryption-Section hinzufügen ,den Entrypoint ändern ,die Importlist was auch immer usw usw.
Hab das nur im Groben gemacht (also Messagebox geht ,aber sobald Ressourcen benötigt werden geht der Protector nicht mehr).
Ja PE-Protectoren sind meiner Meinung nach viel schöner und besser ,allerdings sollten die dann auch viel kosten (da der Aufwand doch viel größer ist).
Aber RunPE tuts auch ;).
Crypter-Beispiel in AutoIt (http://free-hack.com/crypter/58925-allg-crypter-info-incl-source-bspl.html)
Und wie das starten eine Pe funktioniert steht ja schon oben..
trixx_128
10.08.2010, 23:30
Danke sehr für die infos. Bin fleißig am lesen. Sollte ich fragen haben werde ich mich bei dir melden
Powered by vBulletin® Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.