PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : • Crypter Theorie •



LoveSecretGod
03.10.2010, 17:23
Ich suche schon seit längerem richtig gute Theorie zu Cryptern.
Also welche Arten es gibt, wie sie funktionieren, wie man die Stub zusammenbastelt, welche Verschlüsselungsalgorythmen verwendet werden usw.
Ich hab letztens ein -grobes- Tutorial auf HackHound gefunden aber ich suche nach mehr. HackHound File Crypter Architecture (http://www.hackhound.org/forum/index.php?action=dlattach;topic=17973.0;attach=104 26).
Ich gehe ja mal davon aus, dass es nicht nur Leute gibt die sich einen Source schnappen und sagen "ja so ungefähr wirds schon funktionieren"...

Wäre nett wenn diejenigen die wirklich wissen wie es geht ihr Wissen weitergeben.
(Falls es nur Sources mit Kommentaren gibt, wär C/C++/C# günstig)

MfG


Tutorials:

BlackBerry
http://free-hack.com/ansi-c-c-c/38507-%5Btut%5D-crypter-c-schreiben.html

security.org.sg
SIG^2 G-TEC - Dynamic Forking of Win32 EXE (http://www.security.org.sg/code/loadexe.html)

SUNZ
03.10.2010, 17:26
ich suche auch schon seit längerem. hoffe einer meldet sich

mal ein richtiges tutorial im video format wäre super. wie sie funzen/Pe-Header erklärung/wie man die stub´s wieder fud bekommt wenn sie detected sind und und und.

also crypter für dummis

Mofo
03.10.2010, 17:26
Link (http://free-hack.com/ansi-c-c-c/38507-%5Btut%5D-crypter-c-schreiben.html)

SUNZ
03.10.2010, 17:39
nur ein link?

Mofo
03.10.2010, 17:40
Link2 (http://www.security.org.sg/code/loadexe.html)

Wenn man sich an die Anleitung hält kann man nichts falsch machen..


nur ein link?
In Blackberrys Tut, sind auch Zusammenfassungen dessen was man braucht ( PE-format u.ä )

LoveSecretGod
03.10.2010, 17:42
Kannst voll nicht vergessen..
• :-)
• XD
• Link down
• und der Typ ist so "sozial" dass er ihn wieder hochgeladen hat

Mofo
03.10.2010, 17:44
Kannst vergessen..
• Kiddy Theorie


Das sagt sehr viel über dich..

Soviele 'Theorien' gibt es in dem Bereich nicht ;)

Und das Tut ist wirklich sehr gut..
Ich such es mal raus und uppe es in den Thread wenn Blackberry nichts dagegen hat..

/er hats ohnehin gerade geuppt (http://rapidshare.com/files/422887587/CrypterSchreiben.rar)

penguin
03.10.2010, 17:44
Kannst du keine halbe Stunde warten, bis mans wieder auf MU downloaden kann?

LoveSecretGod
03.10.2010, 17:47
Das sagt sehr viel über dich..

Soviele 'Theorien' gibt es in dem Bereich nicht ;)

Und das Tut ist wirklich sehr gut..
Ich such es mal raus und uppe es in den Thread wenn Blackberry nichts dagegen hat..

Danke = )
Sry aber bei dem 700-Zeilen Source den du eben gepostet hast ist der Lern-Effekt auch nicht wirklich hoch. Wie erwähnt: "So irgendwie wirds schon funktionieren"..


Kannst du keine halbe Stunde warten, bis mans wieder auf MU downloaden kann?

Wenn er sagt dass er nicht mehr hochlädt und meinen post löscht in dem ich ihn bitte es für mehrere hochzuladen dann sag ich: NEIN ich kann nicht warten

mfg

Mofo
03.10.2010, 17:57
Und um den Link nochmals zu bringen: eine Schritt für Schritt Anleitung hier (http://www.security.org.sg/code/loadexe.html) ..
Mit der kannst du ganz unabhängig von der Sprache deinen Crypter umsetzten..

nom
03.10.2010, 18:05
Das Problem ist eher folgendes:
1. Die meisten Detections bei cryptern kommen vom Anhängen des gecrypteten Files und des wieder auslesens (TR/Dropper.Gen bei EOF z.B.) da musst du dann den PE Header Re-Alignen (^^) wobei auch schon die auslese Funktion detected sein kann.
2. Andere Detections können vom "RunPE" kommen, und somit musst du entweder ne Ahnung haben wie du es FUD bekommst bzw dir ein eigenes schreibst und damit zu
3. Der PE-Header ist nicht so simpel, dass man mal schnell drüber liest und sagt ja okay is klar, sonst würde es ja FUD Crypter hageln ohne Ende. Das nächste Problem daran ist, das RunPE für alle Windowsversionen (2000, XP, Vista, 7), was relativ einfach ist, aber auch für 32 sowie 64 bit an zu passen, was sich schon etwas schwieriger gestaltet ;)

Und genau aus diesen 3 Gründen wirst du kein Tutorial finden, dass dir von Level 0 an erklärt wie du nen "FUD Crypt9r" bastelst, da es einfach zu Zeitaufwändig wäre.

Und zu SUNZ wegen dem wie man ne stub wieder FUD bekommt:
Wenn du einigermaßen Ahnung vom Coden hast (kp wie gut du Coden kannst daher kein Urteil über dich) dann sollte es in C/C++ nicht all zu schwer sein eine stub wieder FUD zu bekommen. In Sprachen wie VB6 wird jeder Dreck als irgendwas detected, daher hab ich das aufgegeben. In .NET Sprachen lässt sich Malware recht einfach und effektiv Coden, jedoch wird .NET immer runtergemacht, da es eben gewisse Einschränkungen hat, jedoch lässt sich damit auch einiges anstellen.

Mein Tipp:
Einfach und schnell zu lernen: C#/VB.NET
Keine Einschränkungen aber wesentlich komplexer: C/C++/Delphi

blackberry
03.10.2010, 18:11
Wenn er sagt dass er nicht mehr hochlädt und meinen post löscht in dem ich ihn bitte es für mehrere hochzuladen dann sag ich: NEIN ich kann nicht warten

Habe ich nirgendwo gesagt. Außerdem habe ICH deinen Post nicht gelöscht:
Dieser Beitrag wurde von AlterHacker (http://free-hack.com/member.php?u=48889) gelöscht. Grund: Aus Thread geht hervor das R$-Uppen sinnfrei ist.

EBFE
03.10.2010, 18:11
Sry aber bei dem 700-Zeilen Source den du eben gepostet hast ist der Lern-Effekt auch nicht wirklich hoch. Wie erwähnt: "So irgendwie wirds schon funktionieren"..Wo ist dein Problem, den Artikel zu lesen?
SIG^2 G-TEC - Dynamic Forking of Win32 EXE (http://www.security.org.sg/code/loadexe.html)




Use the CreateProcess API with the CREATE_SUSPENDED parameter to create a suspended process from any EXE file. (Call this the first EXE).
Call GetThreadContext API to obtain the register values (thread context) of the suspended process. The EBX register of the suspended process points to the process's PEB. The EAX register contains the entry point of the process (first EXE).


Die meisten Sourcen sind nur deshalb so groß (besonders VB/c#) weil noch PE-Strukturen mit definiert werden.
Und zum PE-Format sollte man getrennt etwas lesen. Hier mal eine Linksammlung: http://free-hack.com/421932-post19.html

Ebenso zu Verschlusselungen.

Ansonsten ist das RunPE-Verfahren nichts Kompliziertes. Gerade andersherum - es ist quasi "BugUsing" in der Funktionalität des WinPE-Loadrers.

Wenn du mit PE-Format vertraut bist - also weißt, welche Werte beim Starten der Exe vom WinPE Loader ausgelesen/initialisiert werden, kannst du a) den RunPE Ansatz verstehen
b) den anderen Ansatz umsetzen (starten der Anwendung durch eigenen Stub-Code, der die Funktionalität des WinPE Loaders nachbildet, was eigentlich nur recht umständlich ist)

Also "All in one high Quality Tut" wirst du nicht finden. Weil alleine ein gutes PE-Format Tutorial ziemlich viel Arbeit macht (~20 Seiten ohne die eigentliche Referenz, wenn man die Details erklären möchte) bzw seitens des Lernenden auch mit RE/ASM-Vorwissen einige Tage Lese und Einarbeitungszeit im Debugger/PE-Editor erfordert (von Leuten, die nie was davon gehört haben, ganz zu schweigen).
Wozu soll man sich also die Arbeit machen und speziell noch eine Einführung ins PE-Format schreiben, wenn es schon anständige Tutorials dazu gibt? Und wenn man PE-Formant kennt, erledigen sich viele Fragen eher automatisch ;).

Was die details der Umsetzung angeht (die ewigen "FUD" Fragen) - das hängt auch größtenteils mit dem PE-Format zusammen und damit, wie die "Stub" und die Exe "zusammengebracht" werden. Da hilft es nichts, eine Anleitung zu schreiben "tu dies und jenes, dann ist es FUUUD". Entweder erkennt man den Fehler, weil man WEIß was man tut oder man wiederholt stumpf die Anleitung (sofern es eine gibt) und wartet anderenfalls immer auf Helfer.