Mein Vorschlag:
Er schrottet RAT,Stealer und Bot "Server".
Der Rest wurde ja bereits gesagt.
Mein Vorschlag:
Er schrottet RAT,Stealer und Bot "Server".
Der Rest wurde ja bereits gesagt.
Das wird allerdings sehr schwer wenn der Stealer(oder was auch immer) seine Pe-Size ebenfalls schon korrigiert hat, und seine Eofdaten anhand von Delimitern findet (Was meistens der Fall ist)Also du liest die EO-Daten vom zu cryptenten Programm aus und addest sie dann den gecrypteten Programm wieder.
Aber das muss ich austesten ..
Wenn ein Eof vorhanden ist werd ichs berücksichtigen..
@Qpl
Wie stellst du dir das vor? Das die Stub dynamisch Rats und Bots des infizierten systems aufspürt, und diese vernichtet?
Wenn ich das könnte wäre ich nicht hier sondern würde millionen mit meiner neuen Av-solution machen
Hab da noch eine Anregung.
Ein Polymorphic Engine wäre auch recht rakptisch.
Und hier noch ein paar Beispiele bei denen die Leute vergessen haben dass sie einen Crypter coden und kein 1337 Ultimate Tool das nebenbei die Datei auch noch FUD macht.
-Diverse Spreads(schon gesagt worden)
-Spreading-Exploit (exploit-db einfach schaun)
-Inject into XXX
-FWB++
-UAC-Bypass
-Kill AVs
-Disable AVs Update
-Disable Taskmanager/CMD
-Anti-Codes
-Downlaod&Exec
-Autostart
-Infect PE-Files
-Infect Archives
//Edit:
Sorry für Doppel/3-fach Post ,aber die Wenigsten lesen meine 1000 Edits .
Und ich glaub sowas wollte er wissen.
Geändert von IRET (25.08.2010 um 16:30 Uhr)
Mofo (25.08.2010)
Ich nehme immer nur so ganz normla die schicken mir zum crypten ("wenn man es richtig macht ")
Automatisches Stub update bitte
Alle Infos aus einer .exe abrufen z.B die Info Version etc, und diese dan den gecrypteten Zeug hinzufügen
Sprich File Cloner.
Hello my friendS
Mofo (25.08.2010)
Grund? Habe ich jetzt schon häufiger auf irgendwelchen Screenshots gesehen, aber wenn wir ehrlich sind soll das doch nur Eindruck schinden und hat keinen praktischen Nutzen.
Hey, schau mal -- mein Crypter hat einen Button mehr ist also 10x besser!!einself!!!11
Wenn man ehrlich ist wäre es doch viel besser einfach einen ANSTÄNDIGEN(!) Zufallsgenerator einzusetzen und dafür dann auch den gesamten Zeichensatz zu verwenden (alphanumeric sucks).
btw: das darf man sich auch gerne sonst mal zu Herzen nehmen.
Auf Screenshots von Cryptern sieht man teilweise nur noch irgendwelche Checkboxen bei denen man irgendwelchen Müll aktivieren, oder deaktivieren kann, obwohl man das sowieso fast immer aktiviert lassen würde.
Das trifft auch insbesondere auf Anti's zu (wobei die meißtens sowieso nur noob-Reverser abhalten würden, aber das ist ein anderes Thema): entweder man will sie, oder man will sie nicht.
Mir würde kein sinnvolles Szenario einfallen, indem man ein Anti-X will, aber kein Anti-Y.
Also entweder man aktiviert alle, oder man deaktiviert alle. Irgendwas dazwischen erscheint mir sinnlos (es sei denn die Stub wird wirklich vom Builder generiert, also je nach Wunsch zusammengebaut, wodurch dann halt je nach Auswahl auch die Größe variieren würde -- aber das bekommt hier sowieso [fast] niemand auf die Reihe, also lassen wir das Thema lieber gleich wieder).
Geändert von blackberry (25.08.2010 um 18:17 Uhr)
PDFTT cr3w a.E. — ReiDC0Re, lindor, Sera, berry
please do feed the trolls crew and elk
Ehrenwerte Mitglieder im Ruhestand: OpCodez, SFX.
"Was sich blackberry gerade denkt" — Vorsicht! Frei laufender Wahnsinn!
Zitat von fuckinghot19: "PS: Blackberry ist auf FH der Trollkönig ^^."
An dieser Stelle danke ich all meinen Fans und Hatern gleichermaßen ^.^
ichbinslol (25.08.2010), l0dsb (25.08.2010), Mofo (25.08.2010)
Ersteinmal danke für die vielen Anregungen
Ich könnte keinen Crypter schreiben wenn ich das nicht wüsste
Ans ende der exe heist nicht das man es findet wenn man im Eof (Realsize-(pointertorawdata + SizeOfRawData) <- so suche ich dannach ) schaut, denn viele stealer korrigieren das wegen antivir und suchen sich ihr 'eof' anhand von Trennstrings.. So mache ich das auch..
Aber so eine Pe zu starten muss ich noch testen..
Wenn die letzte section dann einfach größer ist dann sollte das kein Problem sein..
@blackberry
Ja ein eigener Key ist natürlich nur Augenwischerei
Ich werde mir das zu Herzen nehmen und die ganzen Optionen die toll aussehen nicht zum auswählen anbieten..
Wenn das weglassen von Optionen die exe kleiner machen sollte dann müsste ich linker etc mit einbinden und das vor Ort compilieren lassen ? Oder wie sonst wäre das umzusetzen ?
@fuckinghot
Was sollte denn polymorph sein..
Und wie sieht das konkret aus, ich habe mich noch nie mit polymorphie auseinandergesetzt..