[Video Tutorial] - Runtime Crypter

[phil333]

Gutes tut, sehr gut beschrieben. Wer das nicht versteht selbst schuld.

Thx

[blackberry]

Wer Code kopieren nicht versteht ist wirklich selber Schuld.
Wenn du jedoch von dir behaupten kannst jetzt verstanden zu haben WARUM das ganze funktioniert (und damit meine ich JEDE Zeile Code), DANN ist es ein gutes Tutorial.

[gummi111]

WoW alle am mekern aber keiner mach ein eigenes?

[tWK3000]

Sehr schönes TuT

[numeyu]

Ein schönes Tut. Auch wenn der Autor sagt, dass er nicht gut Englisch kann ist es doch leicht verständlich
Joar, ich werds mir gleich mal ganz reintun und dann mal sehen wie ich den Kram in C hinbekomme ...
Achja: Was fürn RAT läuft auch in einer VM? Hab dafür kein Bock auch noch Windows zu starten

[Highspeed]

Also habe Poison Ivy und läuft auf einer VM.

[Katsumix3]

sorry wne ich den thread auskrame aber ich muss auch saqen n1 tutorial!!!

Ich hab mal nen test gemacht und einfach ne msgbox createt wie er und ja auf novirusthanks upgeloaded.

Multi-Engine Antivirus Scanner - Services - NoVirusThanks.org

Der sagt Bifi server xD

[boterfreak]

Du musst ihn auch erstmal fudden junk codes strings ändern Assembly info rein icon ändern und bla und blub dan ist er auch FUD

[blackberry]

Ja klar.
Dann "FUDDE" (omg was für ein Wort...) das Ding doch via JunkCode, anderem Icon und bla und blub gegen das hier:

Code:

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <windows.h>

#define MSG(m, s) MessageBox(0, (m), "Simple Heuristic Detector", (s))


int main(int argc, char *argv[])
{
    FILE *fp;
    char *buffer;
    int sz;
    int offset;
    IMAGE_DOS_HEADER *idh;
    IMAGE_NT_HEADERS *inh;
    IMAGE_SECTION_HEADER *ish;
    
    if (argc < 2) return 1;
    
    if (!(fp = fopen(argv[1], "rb")))
    {
        MSG("Konnte die Datei nicht öffnen", MB_ICONERROR);
        return 2;
    }
    
    fseek(fp, 0, SEEK_END);
    sz = ftell(fp);
    fseek(fp, 0, SEEK_SET);
    
    if (!(buffer = (char *) malloc(sz + 1)))
    {
        MSG("Nicht genug Speicher vorhanden", MB_ICONERROR);
        return 3;
    }
    
    fread(buffer, 1, sz, fp);
    fclose(fp);
    
    idh = (IMAGE_DOS_HEADER *) buffer;
    if (idh->e_magic != 0x5A4D)
    {
        MSG("Fehlerhafte Datei", MB_ICONERROR);
        return 4;
    }
    
    inh = (IMAGE_NT_HEADERS *) &buffer[idh->e_lfanew];
    if (inh->Signature != 0x4550)
    {
        MSG("Fehlerhafte Datei", MB_ICONERROR);
        return 4;
    }
    
    offset = idh->e_lfanew + sizeof(IMAGE_NT_HEADERS) +
        (inh->FileHeader.NumberOfSections - 1) * sizeof(IMAGE_SECTION_HEADER);
    ish = (IMAGE_SECTION_HEADER *) &buffer[offset];
    offset = ish->PointerToRawData + ish->SizeOfRawData;
    
    if (offset < sz)
    {
        MSG("Datei scheint modifiziert", MB_ICONWARNING);
    }
    else
    {
        MSG("Datei scheint normal zu sein", MB_ICONINFORMATION);
    }
    return 0;
}

P.S.: an jeden, der das jetzt wirklich probiert: mit oben beschriebenen Methoden funktioniert das nicht und Antiviren-Programme arbeiten u.a. auch mit dieser Methode um infizierte Software zu erkennen.