[S] Verschlüsselungen Selber machen

[inmate]

Die Udness liegt (wie opcodez schon sagte) nicht an der Verschlüsselung.
Du musst in der Stub alle Strings verschlüsseln, Trashcode einfügen, den PE Header fixen, module umbennenen, projekt name, icon und versionsinfo changen usw.Die Variablen umzubennen bringt nichts in VB, die kannste so laßen.


Dann wird er FUD.

mfG

[ocz]

Du musst in der Stub alle Strings verschlüsseln, Trashcode einfügen, den PE Header fixen, module umbennenen, projekt name, icon und versionsinfo changen usw

Kann man nicht irgendwie verhindern, dass VB diese ganzen Infos in die Binary packt? Abgesehen davon denke ich auch, dass Trashcode bei diesen "heuristikanfälligen" Cryptergeschichten ne große Rolle spielt.

[inmate]

Kann man nicht irgendwie verhindern, dass VB diese ganzen Infos in die Binary packt?

Meines wissens nach nicht, leider.Aber genau weiss ich das auch nicht :-/

Abgesehen davon denke ich auch, dass Trashcode bei diesen "heuristikanfälligen" Cryptergeschichten ne große Rolle spielt.

Oh ja da hast du recht.Mittlerweile wird "gemunkelt" das sogar einfacher Jump Trash Code detected ist wie:

Code:

goto Hallo

Hallo:

Oder Rot13 Verschlüsselte Strings sind mittlerweile auch detected. Ich muss jeden String ca. 3x mit verschiedenen Verschlüsselungen ala Rc4, Base64 oder Ascii verschlüsseln um überhaupt noch einen Erfolg zu erzielen.

Ich merke es auch selber das es immer schwieriger wird seine Stub noch FUD zu bekommen.

mfG

[blackberry]

ZBS Mod 256 zu Mod 356 ?

Du weißt schon, dass Modulo den Rest einer Division darstellt?
Angenommen der String den du verschlüsseln willst wird Byte-Weise verschlüsselt:
1Byte = 256 verschiedene Zustände
Es gibt:
Zustand 0, Zustand 1, ..., Zustand 255 (da die 0 ja noch mitzählt zusammen 256 verschiedene).
Teilst du also a durch 256 und wir wissen, dass 0 <= a < 256, so kommt immer a raus.
==> a mod 256 = a
Demzufolge: keine Verschlüsselung.

Wählst du jedoch den Divisor kleiner als 256 (nehmen wir beispielsweise mal 255 = FF hexadezimal), so ergibt beispielsweise:
0 mod 255 = 0
0xFF mod 255 = 0 (weil restlos teilbar)

Du stiftest somit also eine Abbildung, die nicht injektiv ist -- was eine fundamentale Vorraussetzung für eine Verschlüsselung ist.

Du brauchst jedoch in diesem Fall (abb: char -> char) eine Abbildung, die injektiv und surjektiv (sprich: bijektiv) ist.

Die Udness liegt (wie opcodez schon sagte) nicht an der Verschlüsselung.

Oder Rot13 Verschlüsselte Strings sind mittlerweile auch detected. Ich muss jeden String ca. 3x mit verschiedenen Verschlüsselungen ala Rc4, Base64 oder Ascii verschlüsseln um überhaupt noch einen Erfolg zu erzielen.

Wiederspruch??
Glaubst du tatsächlich, dass ein AV den Code soweit emuliert und dann zuletzt auch noch den emulierten Speicher nach bekannten Strings durchsucht?

Wenn es erkannt wird, dann wohl eher weil du zehn verschiedene Verschlüsselungsalogrithmen aus dem INet kopiert hast und einer von denen erkannt wird und zusammen mit der Größe der Datei und der Fülle an Sicherheitsmaßnahmen dem AV verdächtig vor kommt...

Oh ja da hast du recht.Mittlerweile wird "gemunkelt" das sogar einfacher Jump Trash Code detected ist wie:

Code:

goto Hallo

Hallo:

VB muss schon ziemlich scheiße sein, wenn der Compiler das nicht wegoptimiert...

[boterfreak]

hab habe ein Junk Code generator für vb.net gibst den auch für vb ?

[ocz]

hab habe ein Junk Code generator für vb.net gibst den auch für vb ?

Generier ihn im Kopf, Polymorph muss das ganze ja jetzt nicht werden...

[inmate]

@Blackberry,

ich meinte die Strings die mit Rot13 verschlüsselt sind und nicht die Datei.

Joa ich habe oft schon Verschlüsselungen wie Blowfish oder Twofish ausm Inet kopiert weil die wenigsten Leute in der lage sind diese selber zu schreiben

Und naja du hast mehr Ahnung als ich also werde ich wohl eh im Unrecht liegen deswegen sage ich einfach mal sry das ich was falsches geschrieben habe

mfG

[gf0x]

Detections liegen aber nicht immer an der Verschlüsselung - sei angemerkt : )