Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13
  1. #1
    Anfänger
    Registriert seit
    24.05.2015
    Beiträge
    5

    Standard Builder coden, Techniken Payload an Stub zu binden

    Hi, hab in letzter Zeit einen einfachen Crypter in C++ geschrieben.
    Der Builder zerlegt den Payload in 200KB große Stücke und fügt sie als Ressourcen in den Stub ein.
    Kleine Dateien unter 500KB werden gecryptet nur von Avira als Dropper erkannt, größere aber von ziemlich vielen AVs.
    Welche anderen Techniken gibt es, um den Stub FUD zu kriegen?

  2. #2
    Fortgeschrittener
    Registriert seit
    10.06.2012
    Beiträge
    35

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Ich würde damit anfangen, einzelne Funktionen Schritt für Schritt rauszunehmen (bzw einfach den Code durch leere returns zu ersetzen um so rauszufinden, welcher Teil von deinem Code detected wird. Dann kannst du den umschreiben

  3. #3
    Bad Times Virus Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    642

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Du dropst den Krämpel aber nicht einfach oder?

  4. #4
    Anfänger
    Registriert seit
    24.05.2015
    Beiträge
    5

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Ne hat schon ne RunPe.
    Allerdings ist da auch das Problem, dass ich beim Stub im Linker die gleiche Base Adresse einstellen muss die der Payload hat, ansonsten kommt die Meldung "Anwendung konnte nicht gestartet werden 0x05".

    Der Stub selbst wird nur von Avira detected, von etlichen anderen AVs nur wenn über ca. 3 200 KB Ressourcen eingefügt sind.

  5. #5
    Moderator Avatar von Jut4h.tm
    Registriert seit
    25.06.2006
    Beiträge
    760

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    womit verschlüsselst du denn den Payload? Ich kann dir in ner PM mal nen paar Ansätze schrieben

  6. #6
    Bad Times Virus Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    642

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Hast du schonmal probiert ne Section hinzuzufügen anstatt das ganze als Ressource einzubinden? Du hast ja dann über den PE Header die Adressen, kannste zum Testen ja auch hardcoded probieren.

  7. #7
    Transpinguin Avatar von IRET
    Registriert seit
    02.09.2008
    Beiträge
    1.295

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Zitat Zitat von gORDon_vdLg Beitrag anzeigen
    Hast du schonmal probiert ne Section hinzuzufügen anstatt das ganze als Ressource einzubinden? Du hast ja dann über den PE Header die Adressen, kannste zum Testen ja auch hardcoded probieren.
    Meiner Erfahrung nach wird eine zusätzliche Section öfters als schädlich spezifiziert als eine zu große Ressource.

    @TE: Welche Detection kriegst du? Schon mal probiert eine eigene RunPE zu schreiben?

  8. #8
    Anfänger
    Registriert seit
    24.05.2015
    Beiträge
    5

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Von Avira ist die Detection TR/Dropper.Gen.


  9. #9
    Fortgeschrittener
    Registriert seit
    08.04.2015
    Beiträge
    32

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Haste die üblichen Sachen überprüft?
    Hier ein vielleicht nützlicher Link: http://itsecuritylab.eu/index.php/20...for-beginners/

  10. #10
    Transpinguin Avatar von IRET
    Registriert seit
    02.09.2008
    Beiträge
    1.295

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Zitat Zitat von 0ilZ Beitrag anzeigen
    Von Avira ist die Detection TR/Dropper.Gen.

    Ist die Detection auch ohne Payload (also nur die Stub) existent?

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Bot coden - einfach nur binary statt builder?
    Von whory im Forum Sonstige Programmiersprachen
    Antworten: 15
    Letzter Beitrag: 13.12.2010, 15:21
  2. [C] Builder/Stub
    Von GregorSamsa im Forum Sourcecodes
    Antworten: 2
    Letzter Beitrag: 04.04.2010, 20:18
  3. [S] Builder coden ohne ExeMod
    Von Z4ppy im Forum Delphi
    Antworten: 8
    Letzter Beitrag: 15.03.2009, 16:33
  4. [C#] Builder coden
    Von Pinörkelchen im Forum .NET Sprachen - Techniken
    Antworten: 2
    Letzter Beitrag: 30.01.2008, 13:24
  5. Builder coden
    Von rob00n im Forum C, C++
    Antworten: 4
    Letzter Beitrag: 27.06.2007, 17:15

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •