Alternative zu "Xor" [VB6] + Fud RC4

[Tix]

Da jetzt Avs auch VB Functionen wie Xor detecten hab ich mal eine alternative dafür geschrieben :

Da es in vb auch kein nand gibt musst ich dafür auch ein replacement schreiben.


Hier Beispiel wie ihr es testen könnt :

Code:

Private Sub Form_Load()
If (10 Xor 10) = xori(10, 10) Then
    MsgBox "Funktioniert!"
End If
End Sub

Private Function nand(a, b)
    nand = Not ((a And b))
End Function

Private Function xori(a, b)
    xori = nand(nand(a, nand(a, b)), nand(b, nand(a, b)))
End Function

Hab auch mal in einer detecteten RC4 Verschlüsselung das Xor Replaced und ist nun wieder schön FUD.


Code :

Code:

Public Function RC4(ByVal Data As String, ByVal Password As String) As String
On Error Resume Next
Dim F(0 To 255) As Integer, X, Y As Long, Key() As Byte
Key() = StrConv(Password, vbFromUnicode)
For X = 0 To 255
    Y = (Y + F(X) + Key(X Mod Len(Password))) Mod 256
    F(X) = X
Next X
Key() = StrConv(Data, vbFromUnicode)
For X = 0 To Len(Data)
    Y = (Y + F(Y) + 1) Mod 256
    Key(X) = xori(Key(X), F(Temp + F((Y + F(Y)) Mod 254)))
Next X
RC4 = StrConv(Key, vbUnicode)
End Function

Private Function nand(a, b)
    nand = Not ((a And b))
End Function

Private Function xori(a, b)
    xori = nand(nand(a, nand(a, b)), nand(b, nand(a, b)))
End Function

[blackberry]

Also weil AV's XOR-Verschlüsselungen als gefährlich einstufen baust du dir ein XOR mit NANDs zusammen? Sinn?
Sollten AV's - wie du sagst - die Verschlüsselung erkennen, dann würde es auch nichts bringen die etwas anders zu implementieren.
Das einzige was wohl einige AV's erkennen ist das selbe XOR-Modul, dass jeder 1337crypterCoder kopiert und das einzige was du damit machst ist die Heuristik täuschen, jedoch nicht die Verschlüsselung an sich ändern.

Ansonsten: wir sind hier keine Mikrochip-Architekten, die sich ihre Rechenlogik aus gleichen Gattern (z.B. NAND - geht auch genausogut mit AND, OR, usw.) zusammenbasteln.
Hier wäre meine Version von XOR, die wenn ich richtig gezählt habe nur halb soviel Operationen braucht wie deine (nicht vergessen: da du NAND aus NOT und AND aufbaust zählt das jeweils doppelt...):

Code:

Private Function xori(a, b)
    xori = (a And Not b) Or (Not a And b)
End Function

Außerdem finde ich meine Variante irgendwie auch einleuchtender... es heißt ja im Grunde:
Wahr, wenn a und nicht b wahr sind, oder b und nicht a wahr sind.

XOR Wahrheitstabelle:
a b -> a^b
1 1 -> 0
1 0 -> 1
0 1 -> 1
0 0 -> 0

[Tix]

nein avs erkennen die Funktion XOR , nicht die Verschlüsselung selbst... Die Funktion Xor wird nirgends in vielen verschlüsselungen verwendet..

und nand funktion hab ich nur geschrieben weil es nand nicht als vb funktion gibt,

lg

[blackberry]

Die Funktion Xor wird nirgends in vielen verschlüsselungen verwendet..

XOR ist ein Operator und keine Funktion.
Ansonsten: natürlich nicht. Wird nirgendwo eingesetzt.
Ist darum auch klar wieso du den nachbauen musst.
Ich glaube ich geh jetzt in die Küche und esse mal einen Blowfish.

EDIT:
und danach esse ich noch ein wenig AES und AddRoundKey.
Und ein wenig Serpent esse ich dann auch noch.

[mr. unnamed]

Gut, das ich dafür Credits bekomm lieber Tix Ich hab dir das CodeSnippet gegeben :O

[GregorSamsa]

Dieser Thread zeugt mal wieder von den Skills der 1337-VB-Crypt0r-C0d3r...

XOR ist in einer großen Menge verschlüsselungen enthalten, aber nicht nur dort, es gibt viele Programme die das benötigen.

Und wenn mir einer Erzählt, AV's würden nach xor() suchen und das als Grundlage für ne positive Meldung ansehen, dann gehe ich zu Blackberry und esse mit ihm ein Blowfish, gebraten und paniert von Rivest, Shamir und Adleman...

[mr. unnamed]

Und wenn mir einer Erzählt, AV's würden nach xor() suchen und das als Grundlage für ne positive Meldung ansehen, dann gehe ich zu Blackberry und esse mit ihm ein Blowfish, gebraten und paniert von Rivest, Shamir und Adleman...

Hat Tix vielleicht ein bisschen Falsch ausgedrückt, er meint wohl eher, das mittlerweile manche VB6 RC4 module mit nativem XOR detected werden, und um das zu umgehen das native XOR eben ausgetauscht wird. Aber schade, das solche Ideen immer gleich runtergemacht werden.

[Tix]

und auserdem teste es ruhig selbst GregorSamsa, replace hier im rc4 modul die xor alternative mit dem standart xor und scann mit kaspersky (P-Code),

lg

[GregorSamsa]

Ich werds nicht testen, da ich mich mit VB nicht auskenne, und das definitiv nicht brauche.

Ich kann es nur nicht glauben, dass ein AV z.B. ein C-Programm mit folgendem Inhalt als geährlich einstuft:
main(){ int i = 4 ^ 2; }

Da ist auch Standart-XOR drin, warum sollte das gefährlich sein?

Oder die ganzen normalen Verschlüsselungsalgorithmen, werden die dann auch Standartmäßig als gefährlich eingestuft?

[gf0x]

Und wenn mir einer Erzählt, AV's würden nach xor() suchen und das als Grundlage für ne positive Meldung ansehen ...

Nur als kleine Anmerkung.
Die Detections der Antiviren-Programme bzw. deren Engines sind Faktorenbedingt.

Dazu gehören Sachen wie, manipulierter PE-Header, Split-Key, Kein API-Crypting etc.

Warum eine Datei an einer XOR-Verschlüsselung erkannt wird, liegt daran, dass jede Gesunde AV-Engine dessen Längenbedingter Byteschlüssel innerhalb von paar Sekunden Bruten kann ;o)