Crypter Vorschläge

[QpL]

Mein Vorschlag:

Er schrottet RAT,Stealer und Bot "Server".

Der Rest wurde ja bereits gesagt.

[Mofo]

Also du liest die EO-Daten vom zu cryptenten Programm aus und addest sie dann den gecrypteten Programm wieder.

Das wird allerdings sehr schwer wenn der Stealer(oder was auch immer) seine Pe-Size ebenfalls schon korrigiert hat, und seine Eofdaten anhand von Delimitern findet (Was meistens der Fall ist)
Aber das muss ich austesten ..
Wenn ein Eof vorhanden ist werd ichs berücksichtigen..

@Qpl
Wie stellst du dir das vor? Das die Stub dynamisch Rats und Bots des infizierten systems aufspürt, und diese vernichtet?
Wenn ich das könnte wäre ich nicht hier sondern würde millionen mit meiner neuen Av-solution machen

[IRET]

Hab da noch eine Anregung.
Ein Polymorphic Engine wäre auch recht rakptisch.

Und hier noch ein paar Beispiele bei denen die Leute vergessen haben dass sie einen Crypter coden und kein 1337 Ultimate Tool das nebenbei die Datei auch noch FUD macht.
-Diverse Spreads(schon gesagt worden)
-Spreading-Exploit (exploit-db einfach schaun)
-Inject into XXX
-FWB++
-UAC-Bypass
-Kill AVs
-Disable AVs Update
-Disable Taskmanager/CMD
-Anti-Codes
-Downlaod&Exec
-Autostart
-Infect PE-Files
-Infect Archives


//Edit:
Sorry für Doppel/3-fach Post ,aber die Wenigsten lesen meine 1000 Edits .
Und ich glaub sowas wollte er wissen.

[Tix]

Das wird allerdings sehr schwer wenn der Stealer(oder was auch immer) seine Pe-Size ebenfalls schon korrigiert hat, und seine Eofdaten anhand von Delimitern findet (Was meistens der Fall ist)
Aber das muss ich austesten ..
Wenn ein Eof vorhanden ist werd ichs berücksichtigen..

Weißt du was EOF ist? (End of File)
Viele Stealer,RATs nutzen EOF um die Daten (ftp daten,dns usw) an die Exe zu schreiben, sind diese Daten funktioniert die Datei logischerweiße nicht.

Deshalb EOF Daten der zu cryptenden Exe einlesen und dann an die neue Exe schreiben.


lg

[BlackShooth]

Ich nehme immer nur so ganz normla die schicken mir zum crypten ("wenn man es richtig macht ")

[Cristhecrusader]

Automatisches Stub update bitte

[QpL]

Ich nehme immer nur so ganz normla die schicken mir zum crypten ("wenn man es richtig macht ")

Was..?

[bolloys]

Alle Infos aus einer .exe abrufen z.B die Info Version etc, und diese dan den gecrypteten Zeug hinzufügen
Sprich File Cloner.

[blackberry]

-Eigener Key für die encryption wählbar (Rc4)

Grund? Habe ich jetzt schon häufiger auf irgendwelchen Screenshots gesehen, aber wenn wir ehrlich sind soll das doch nur Eindruck schinden und hat keinen praktischen Nutzen.

Hey, schau mal -- mein Crypter hat einen Button mehr ist also 10x besser!!einself!!!11

Wenn man ehrlich ist wäre es doch viel besser einfach einen ANSTÄNDIGEN(!) Zufallsgenerator einzusetzen und dafür dann auch den gesamten Zeichensatz zu verwenden (alphanumeric sucks).


btw: das darf man sich auch gerne sonst mal zu Herzen nehmen.
Auf Screenshots von Cryptern sieht man teilweise nur noch irgendwelche Checkboxen bei denen man irgendwelchen Müll aktivieren, oder deaktivieren kann, obwohl man das sowieso fast immer aktiviert lassen würde.

Das trifft auch insbesondere auf Anti's zu (wobei die meißtens sowieso nur noob-Reverser abhalten würden, aber das ist ein anderes Thema): entweder man will sie, oder man will sie nicht.
Mir würde kein sinnvolles Szenario einfallen, indem man ein Anti-X will, aber kein Anti-Y.
Also entweder man aktiviert alle, oder man deaktiviert alle. Irgendwas dazwischen erscheint mir sinnlos (es sei denn die Stub wird wirklich vom Builder generiert, also je nach Wunsch zusammengebaut, wodurch dann halt je nach Auswahl auch die Größe variieren würde -- aber das bekommt hier sowieso [fast] niemand auf die Reihe, also lassen wir das Thema lieber gleich wieder).

[Mofo]

Ersteinmal danke für die vielen Anregungen

Weißt du was EOF ist? (End of File)
Viele Stealer,RATs nutzen EOF um die Daten (ftp daten,dns usw) an die Exe zu schreiben, sind diese Daten funktioniert die Datei logischerweiße nicht.

Deshalb EOF Daten der zu cryptenden Exe einlesen und dann an die neue Exe schreiben.
lg

Ich könnte keinen Crypter schreiben wenn ich das nicht wüsste

Ans ende der exe heist nicht das man es findet wenn man im Eof (Realsize-(pointertorawdata + SizeOfRawData) <- so suche ich dannach ) schaut, denn viele stealer korrigieren das wegen antivir und suchen sich ihr 'eof' anhand von Trennstrings.. So mache ich das auch..
Aber so eine Pe zu starten muss ich noch testen..
Wenn die letzte section dann einfach größer ist dann sollte das kein Problem sein..


@blackberry
Ja ein eigener Key ist natürlich nur Augenwischerei
Ich werde mir das zu Herzen nehmen und die ganzen Optionen die toll aussehen nicht zum auswählen anbieten..

Wenn das weglassen von Optionen die exe kleiner machen sollte dann müsste ich linker etc mit einbinden und das vor Ort compilieren lassen ? Oder wie sonst wäre das umzusetzen ?

@fuckinghot
Was sollte denn polymorph sein..
Und wie sieht das konkret aus, ich habe mich noch nie mit polymorphie auseinandergesetzt..