Crypter in Php

[Surflam]

Hey,
Ich beschäftige mich nun schon eine Weile in Php und hab mir nun vorgenommen einen Crypter in Php zu coden. Ich bin schon soweit, das ich eine Datei geöffnet habe und im Format von "00 fb 2c" usw habe, immer Leerzeichen nach jedem Hexwert eben. Nun fehlt mir jedoch das Wissen wie Crypter genau arbeiten, man kann ja nicht wahllos irgendwelche hexwerte ändern, das würde die Datei ja zerstören. Habe mal gelesen das man FF´s durch 00´s ersetzten soll oder umgekehrt, was könnte man noch tun?
Gibt es irgendwelche Basic-Crypter Sourcen wo man sehen kann "wie" man es theoretisch machen kann? Eine Idee die ich dazu hätte wäre das man Assembler befehle als Hexwert sucht, und diese durch gleichwertige Assemblerbefehle die das gleiche tun ersetzt, könnte das klappen?
Würde mich freuen wenn mir da jemand etwas Tipps gibt diesbezüglich.

Lg Surflam

[l0dsb]

Ein Leerzeichen nach jedem Hexwert? Das ergibt in vielen Weisen keinen Sinn. Informiere dich ausführlich über das PE-Format (aus deinem Post lese ich irgendwie, dass es um ausführbare Dateien geht), dann weißt du alles, das du brauchst.

Sections verschlüsseln, Code an die Executable anhängen, Directories selbst parsen. It's teh simpelz.

[Eneth]

N Crypter in PHP? Sorry,davon hab ich noch nie gehört...Wenn es dir was bringt kann ich dir Source Codes in C++ und VB anbieten?

[Surflam]

@l0dsb Das hat so schon seine richtigkeit, ich lese die datei nämlich mit file_get_contents(); aus und wandele sie dann in hex um,und wandele sie nur so um mit dem Leerzeichen damit ich es einfacher beeinflussen kann,dort liegt aber ja nicht das problem.
Und ja es handelt sich um ausführbare dateien

P.s: Hätte es auch im Format "0xbc,0x02,0xff" oder "00bbff" machen können,was aber das bearbeiten des Strings etwas blöder gemacht hätte..so ises einfacher da man den String dann auch in nen Hexeditor als Beispiel einfügen kann oder die jeweiligen Hexwerte vom Hexeditor ins Script Kopieren ohne es anpassen zu müssen

@Eneth
Es gab mal einen Php-Crypter von einem anderem Hackerboard hatte ich gelesen und gesehen, leider ist dieser jetzt Down, und ich würd gerne selbst so einen Programmieren Jepp bei Sources ist es egal welche Sprache, C++ wäre mir am liebsten da ich mit C++ ab und an Gamehacks code

lg

[Eneth]

Meld dich doch mal bitte morgen bei mir per ICQ dann kann ich sie dir schicken ich wollte jetzt off...

[Surflam]

Pastebin ftw.. :???
kannst link ja per pn schicken

[Easysurfer]

@Eneth
Es gab mal einen Php-Crypter von einem anderem Hackerboard hatte ich gelesen und gesehen, leider ist dieser jetzt Down, und ich würd gerne selbst so einen Programmieren

Dahinter steckt ein Server mit einem Programm namens "Crypter" der per Kommandozeile o.ä aufgerufen wird.

[ocz]

@l0dsb Das hat so schon seine richtigkeit

Mag sein, dass du sie in deinem PHP Script temporär in diesem format hast, aber wenn du hinterher wieder zurück in die exe schreibst hast du dann einiges zu konvertieren.

Und ja es handelt sich um ausführbare dateien

Sonderlich ausführbar werden die nach deiner 0x20 Behandlung aber nicht mehr sein.

Das Problem scheint aber eher zu sein, dass du gar nicht weißt, was ein crypter macht. Dazu darf ich dich hierauf verweisen:
http://free-hack.com/482895-post5.html

Du wirst aber wohl nicht umhin kommen, die stub nicht in PHP zu schreiben. Dein Script verschlüsselt dann im endeffekt nur die datei, hängt die stub an und passt einiges im PE Header an.

[Surflam]

Nunja ich weiß ungefähr was in Crypter macht, aber nicht genau was..das Problem ist das die Erklärungen immer so Oberflächig sind, und wozu man die Stub brauch (bzw was in ihr genau enthalten ist?ist ja bei jedem crypter anderst) und wie man genau die Änderungen macht..einfach aufgebaute Sources ohne "extra features",sogesehen nur das Grundgerüst wären genial..damit ich das mal sehe

[ocz]

Code:

mov eax, startoffset
mov ebx, endoffset
mov cl, key

.loop
mov dl, [eax]
xor dl, cl
mov [eax], dl
cmp eax, ebx
jz .ende
inc eax
jmp loop

.ende
jmp OEP

So könnte eine einfache stub aussehen. Wenn du nun zum Beispiel in deinem php script die .code section mit demselben key XORst und die stub in eine cave schreibst und den ep darauf umbiegst, wird die .code section zur laufzeit wiederhergestellt.

Dazu solltest du dir mal das ARTeam PE Tutorial ansehen. Ansonsten könnte ich noch auf gf0x' paper verweisen, das hat in der Manual Packing Sektion aber einige unstimmigkeiten, von daher wirst du um eigenes ausprobieren in OllyDbg nicht rumkommen.