Crypter Coden / CS:S Hack in VB2010?

[Zy0x]

Hey mal ne frage
kann man nen counter strike source hack in VB coden? oO hab von paar leuten gehört das würde gehn bloß external.

nochwas, ich lern jzt schon ca 1 1/2 jahre vb und will mich endlich mal am crypter versuchen, problem is ich hab ka von verschlüsselung und weiß echt nicht wie ich anfangen soll, wie der crypter eig so code technisch funktioniert und was er genau tut

[sn0w]

Zu deinem Crypter Problem: Es gibt genug im Netz. Schau dir zuerst Verschlüsselungen an und dann z.b. Tutorials drüber.

[Zy0x]

hm im netz find ich kein gutes ausführliches tutorial drüber über vb2010, die sind alle älter mit vb6, mind. 2008 und 2010, aber die sind auch nich so gut erklärt..

hat hier einer gute kenntnisse um mir bissl zu erklären? (für crypter)

[Raptor]

Das ist egal welche Sprache, das Prinzip eines Crypters (Builder, Stub) ist überall gleich.
http://board.gulli.com/thread/139071...ter-trojaner-/

Meine Erklärung (Falls Fehler, bitte melden):
Du baust einen Builder welcher die Datei verschlüsselt als z.B Resource an die Stub hängt. Die Stub entschlüsselt beim Ausführen die Datei aus den Resourcen und droppt (Scantime) in den TEMP oder APPDATA Ordner. Runtime wäre dann mit RunPE ohne droppen auf die Festplatte. (Glaub ich!).

Aber warum du unbedingt einen Crypter schreiben möchtest, weiss ich nicht genau... Im Endeffekt hast du trotzdem nichts gelernt da du zu 99,9% ein RunPE kopieren wirst und ein Scantime Crypter ist ja uninteressant oder?

[blackberry]

hat hier einer gute kenntnisse um mir bissl zu erkl�ren? (f�r crypter)

Sollen wir dir hier jetzt was über Primzahlen und Fermats kleinen Satz, Gruppenstruktur auf elliptischen Kurven usw. erzählen?

Wenn du dich in sowas einlesen willst kannst du dir die kleine Einführung von nSinusR zu Gemüte führen:
http://nsinus.back2hack.cc/wp/?p=23

... oder einfach mit Google nach Zahlentheorie oder Algebra Skripten suchen; fast kein Prof lässt es sich nehmen über die theoretischen Hindergründe von RSA oder ECC zu philosophieren... bei der praktischen Implementierung hat man allerdings dann noch viel größere Hürden zu überwinden (bei RSA beispielsweise braucht man zwei große Primzahlen, deren reine Beschaffung schon keine triviale Aufgabe ist; das anschließende Rechnen in zugehörigen Restklassenringen ist auch alles andere als trivial, wenn man nicht möchte, dass der Computer zum entschlüsseln von ein paar Buchstaben mehre Millionen Multiplikationen ausführen muss)

Aber gut... hier kommt jetzt der wohl für dich interessante Teil meines Posts:
Für Crypter ist es im Prinzip völlig egal, wie du das zu verschlüsselnde Programm verschlüsselst. Alles was du erreichen willst ist, dass ein Antivirenprogramm die Ausgabe von deinem Crypter nicht anhand von heuristischen Analysen erkennt.
Gibt es also im Zielprogramm irgendwo eine Abfolge von Bytes, die das Antivirenprogramm erkennt, dann willst du lediglich, dass diese Abfolge sich verändert hat. Antivirenprogramme entschlüsseln nichts.

Nehmen wir uns doch einfach mal eine auf XOR-basierte Verschlüsselung her (in der Hoffnung, dass du weißt wovon ich spreche und folgender Link völlig unnötig ist: http://en.wikipedia.org/wiki/XOR_cipher). Dann verschlüsselst du das Zielprogramm und dabei gleichzeitig eine Bytefolge, die von irgendeinem Antivirenprogramm als gefährlich eingestuft wird. Mit der oben genannten Verschlüsselung kannst du bei geeigneter Wahl des Schlüssels (man kann sich sogar extrem leicht überlegen welchen) jede beliebige Zeichenkette auf jede beliebige andere Zeichenkette abbilden. Würde das Antivirenprogramm nun einfach wild in zu durchsuchenden Programmen versuchen mit einem zufällig gewählten Schlüssel den Code "zu entschlüsseln", so würde es zwangsweise irgendwann auf eine Bytefolge in einem völlig harmlosen Programm einen Schlüssel anwenden, der diese Bytefolge in eine Bytefolge "übersetzt", die das Antivirenprogramm als Gefahrbehaftet einstuft -- tada! Du hast einen "false positive".

Allein unter der Annahme, dass das Antivirenprogramm unsere Verschlüsselung kennt und wahllos Schlüssel durchprobiert haben wir also eingesehen, dass wir ganz schnell falschpositive Befunde bekämen. Für einen Antivirenhersteller ist es natürlich nicht sehr gut, wenn das verkaufte Produkt bei einem frisch installierten Betriebssystem schon im Kreis springt und den User zur Säuberung des Systems auffordert.

Und abschließend kann man sich jetzt noch folgendes Überlegen: eine Verschlüsselung ist im Prinzip nur eine Menge injektiver Abbildungen (das injektiv sichert hier die Umkehrbarkeit, also Entschlüsselbarkeit) zwischen Bytefolgen. Der Schlüssel wählt hierbei eine spezielle Abbildung aus und mit dieser wird entschlüsselt. Die Entschlüsselung wählt einfach wieder dieselbe Abbildung aus und entschlüsselt mit der Umkehrabbildung. Das wäre sozusagen die mathematische Sicht auf Verschlüsselungen. Bei der Frage wieviele solche injektive Abbildungen es gibt kommst du darauf, dass es unendlich viele davon gibt.

Ein Antivirenprogramm kann sich also noch nicht mal alle möglichen Verschlüsselungen kennen; geschweige denn jeden Schlüssel zu jeder Verschlüsselung ausprobieren.

Wir kommen also zu der endgültigen Schlussfolgerung: ANTIVIRENPROGRAMME ENTSCHLÜSSELN NICHTS. Und damit noch zu dem was ich schon am Anfang meines Posts gesagt habe und nur noch wiederhole, da es sich offenbar in den Köpfen vieler hier so hartnäckig festgesetzt zu haben scheint: die Verschlüsselung bei Cryptern ist absolut egal, solange sie das Programm entsprechend unkenntlich macht (was im Prinzip immer der Fall ist, wenn man nicht gerade mit der Identität "verschlüsselt"). Mit diesem XOR-Cypher habe ich dir nun bereits eine genannt, die du verwenden könntest und die obendrein völlig trivial zu implementieren ist (und obendrein extrem einfach verständlich ist).

Der einzige Weg für ein Antivirenprogramm um verschlüsselte Programme aufzudecken wäre das entsprechende Programm laufen zu lassen (in der Praxis würde man das Programm natürlich emulieren, oder zumindest in einer Sandbox ausführen; BitDefender macht meines Wissens nach zum Beispiel ersteres). Vor so einer Technik schützt dich aber auch keine bessere Verschlüsselung; dabei muss man dann eben dafür sorgen, dass das Programm erkennt, dass es in einer solchen Umgebung läuft und das eigentliche Programm dann erst gar nicht entschlüsselt.

P.S.: Eine etwas humorvollere Überlegung: Zu der Wahrscheinlichkeit eines falsch-positiven Befundes unter obigen Überlegungen: die entsprechende Bytefolge kann man auch als Passage aus einem Buch von Shakespeare interpretieren. Wir nehmen also einen entsprechenden Schlüssel, der unser Schadprogramm (oder Teile davon) in Texte von William Shakespeare übersetzt und dann sichert uns das Infinite monkey theorem (http://en.wikipedia.org/wiki/Infinite_monkey_theorem) die Existenz von mindestens einem falsch-positiven Befund (denn ein Programm, das Texte von William Shakespeare anzeigt und daher irgendwo in den Ressourcen speichert gibt es mit Sicherheit)...