Builder coden, Techniken Payload an Stub zu binden
Hi, hab in letzter Zeit einen einfachen Crypter in C++ geschrieben.
Der Builder zerlegt den Payload in 200KB große Stücke und fügt sie als Ressourcen in den Stub ein.
Kleine Dateien unter 500KB werden gecryptet nur von Avira als Dropper erkannt, größere aber von ziemlich vielen AVs.
Welche anderen Techniken gibt es, um den Stub FUD zu kriegen?
AW: Builder coden, Techniken Payload an Stub zu binden
Ich würde damit anfangen, einzelne Funktionen Schritt für Schritt rauszunehmen (bzw einfach den Code durch leere returns zu ersetzen um so rauszufinden, welcher Teil von deinem Code detected wird. Dann kannst du den umschreiben
AW: Builder coden, Techniken Payload an Stub zu binden
Du dropst den Krämpel aber nicht einfach oder?
AW: Builder coden, Techniken Payload an Stub zu binden
Ne hat schon ne RunPe.
Allerdings ist da auch das Problem, dass ich beim Stub im Linker die gleiche Base Adresse einstellen muss die der Payload hat, ansonsten kommt die Meldung "Anwendung konnte nicht gestartet werden 0x05".
Der Stub selbst wird nur von Avira detected, von etlichen anderen AVs nur wenn über ca. 3 200 KB Ressourcen eingefügt sind.
AW: Builder coden, Techniken Payload an Stub zu binden
womit verschlüsselst du denn den Payload? Ich kann dir in ner PM mal nen paar Ansätze schrieben
AW: Builder coden, Techniken Payload an Stub zu binden
Hast du schonmal probiert ne Section hinzuzufügen anstatt das ganze als Ressource einzubinden? Du hast ja dann über den PE Header die Adressen, kannste zum Testen ja auch hardcoded probieren.
AW: Builder coden, Techniken Payload an Stub zu binden
Zitat:
Zitat von
gORDon_vdLg
Hast du schonmal probiert ne Section hinzuzufügen anstatt das ganze als Ressource einzubinden? Du hast ja dann über den PE Header die Adressen, kannste zum Testen ja auch hardcoded probieren.
Meiner Erfahrung nach wird eine zusätzliche Section öfters als schädlich spezifiziert als eine zu große Ressource.
@TE: Welche Detection kriegst du? Schon mal probiert eine eigene RunPE zu schreiben?
AW: Builder coden, Techniken Payload an Stub zu binden
Von Avira ist die Detection TR/Dropper.Gen.
AW: Builder coden, Techniken Payload an Stub zu binden
Haste die üblichen Sachen überprüft?
Hier ein vielleicht nützlicher Link: http://itsecuritylab.eu/index.php/20...for-beginners/
AW: Builder coden, Techniken Payload an Stub zu binden
Zitat:
Zitat von
0ilZ
Von Avira ist die Detection TR/Dropper.Gen.
Ist die Detection auch ohne Payload (also nur die Stub) existent?