LOL. Welcher AV nimmt sich bitte die Zeit ein RC4 zu bruten :O #FAIL
Und schade, dass einige nicht den ganzen Thread lesen!
LOL. Welcher AV nimmt sich bitte die Zeit ein RC4 zu bruten :O #FAIL
Und schade, dass einige nicht den ganzen Thread lesen!
Biete:
Ich rede von der XOR-Verschlüsselung *rolleyes*
@gf0x
Ja du hast vollkommen Recht, das Av brutet den Splitkey, danach brutet es noch den Cryptkey und dann decrypted es das File und dann wirds gescannt.
/Ironie off
made my day thx ^^
Ein kleiner Beitrag aus Dizzy_D's Überprüfungstext bezüglich des Themas "Manual Packing + Verschlüsselung" aus meinem derzeitigen Paper.
Warum sollte ein AV sich die Zeit nehmen etwas zu entschlüsseln. überleg mal, der müsste erstmal erkennen, das etwas verschlüsselt ist, dann eine XOR verschlüsselung finden und dann einen BruteForce starten. Davor kommt noch die normale Detection routine. Da ist es doch viel sinnvoller an der erkennung von Stubs zu arbeiten...
Biete:
@gf0x
Das Bruteforcen war auf den XOR OPERATOR und nicht auf die XOR VERSCHLÜSSELUNG bezogen. Wie du siehst, kann bei der XOR VERSCHLÜSSELUNGsfunktion ein beliebig langer Key angegeben werden. Anders als bei einer Manual-Packing Routine, die auf dem XOR OPERATOR basiert.
Dort wäre es durchaus denkbar, dass der XOR-Key gebrutet oder auch von den AVs ausgelesen wird.
Allerdings kann ich das auch nicht mit 100%iger Sicherheit sagen, allerdings wäre es doof, wenn die AVs das nicht so machen würden.
Und ab jetzt verwechelt hier bitte niemand mehr den OPERATOR mit der FUNKTION.
C&P - mehr brauch man nicht sagen.
Wenn ich das schon höre ... FUDRC4. Macht euch doch selbst Verschlüsselungs Algorythmen und ihr habt nicht die Probleme dass 100000 Kids den selben verwenden.
Simple XOR Instruction mit variirendem Key reicht vollkommen. Und vonwegen "keine Nullbytes im ganzen Code".
Schon mal was von einer IF Funktion gehört?
und all deine Nullbytes bleiben dir erhalten....if byte ptr [eax] != 0.if byte ptr [eax] != al.endifxor byte ptr [eax], al.endif