Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Qual é a lógica dos crypters?

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Qual é a lógica dos crypters?

    Pessoal, há algum tempo estou estudando os crypters: o que são, para que servem e talz. Mas qual é a lógica que é utilizada para encryptar o servidor? Tipo, como eu sei qual código eu escrevo no VB6 que resultará no crypter, qual a lógica que eu tenho que usar? (por exemplo: encher o servidor de códigos sem sentido para que passe despercebido pelo antivírus).

    Espero ter explicado bem a minha dúvida.

    Vlw. Até mais!
    Similar Threads

  • Font Size
    #2
    Dê uma olhada nesse tópico --> Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    e baixe umas sources pra você estudar, só dá uma pesquisada no google por Pack Crypter Sources

    Comment


    • Font Size
      #3
      Complementando a resposta do C0d3r, vou postar um print do código de um crypter que eu mesmo refiz e comentei as linhas pra ficar mais fácil de entender o funcionamento.
      PS: O código é do botão de Criptografar.



      Vou tentar explicar o código acima (basicamente reescrever):

      O client pega o tamanho da stub, e gera vários espaços de acordo com a quantidade de bytes que o programa contém. Ou seja, se o server tem 360kb (360.000 bytes), ele vai gerar 360 mil espaços, e vai salvar na variável Stub. Depois disso ele abre a própria stub, pega o código dela (o código do binário) e adiciona na variável Stub (que contém os espaços). Agora a variável Stub contém os espaços + o código da stub.

      Depois ele faz a mesma coisa descrita acima, porém, adicionando o código do server à variável Archivo.

      Portanto, a variável Stub contém espaços + código da stub, e a variável Archivo tem espaços + código do server.

      Depois disso ele criptografa a variável Archivo usando a criptografia RC4, com essa chave aí.

      Então ele cria um novo arquivo (o arquivo criptografado) contendo o conteúdo da variável Stub + um delimitador para que o código possa ser separado pela stub + conteúdo da variável Archivo + o delimitador, novamente.

      Ou seja, quando esse arquivo for aberto (o arquivo criptografado), ele vai executar o código da Stub, que é basicamente a mesma coisa, só que o inverso.

      Concluímos então que ele enche o programa de lixo (vários espaços), e depois criptografa isso tudo com a chave RC4. A stub usa a mesma chave pra descriptografar, retirar os espaços, pegar o código do server e gerar um novo processo com esse código.

      É um método extremamente complexo, não terminei de comentar o código da stub todo porque não entendi muitas partes, e também não sei como remover esse tipo de criptografia. É difícil analisar trojans criptografados assim porque ao invés da stub escrever o código do server na própria memória, ela gera um novo processo, então não teria como dar breakpoints em um debugger pra ver isso acontecendo. Talvez fazendo dump da memória do processo do server, mas isso já é outro assunto.

      Enfim, é isso aí, existem vários outros tipos de criptografias, mas acho que essa é a mais comum (ou pelo menos era). Foi mal se o texto ficou repetitivo, apenas fui lendo os comentários e escrevendo tudo em uma linha apenas.

      Qualquer coisa dá um grito ai! Valeu =)
      Last edited by Nickguitar.dll; 24-01-2015, 01:00. Motivo: Blabla...
      .

      - PHP & VB C0d3r.

      Nickguitar.dll@hotmail.com

      http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

      Quando aprendemos a ouvir, também aprendemos a falar..
      Quando aprendemos a ler, também aprendemos a escrever.
      Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


      I'm C0ding for $$$

      #~: Just $this :~#

      Comment


      • Font Size
        #4
        Postado Originalmente por C0d3r_Burn Ver Post
        Dê uma olhada nesse tópico --> Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

        e baixe umas sources pra você estudar, só dá uma pesquisada no google por Pack Crypter Sources
        Ok, vou dar uma pesquisada e estudar. Vlww

        Postado Originalmente por Nickguitar.dll Ver Post
        Complementando a resposta do C0d3r, vou postar um print do código de um crypter que eu mesmo refiz e comentei as linhas pra ficar mais fácil de entender o funcionamento.
        PS: O código é do botão de Criptografar.



        Vou tentar explicar o código acima (basicamente reescrever):

        O client pega o tamanho da stub, e gera vários espaços de acordo com a quantidade de bytes que o programa contém. Ou seja, se o server tem 360kb (360.000 bytes), ele vai gerar 360 mil espaços, e vai salvar na variável Stub. Depois disso ele abre a própria stub, pega o código dela (o código do binário) e adiciona na variável Stub (que contém os espaços). Agora a variável Stub contém os espaços + o código da stub.

        Depois ele faz a mesma coisa descrita acima, porém, adicionando o código do server à variável Archivo.

        Portanto, a variável Stub contém espaços + código da stub, e a variável Archivo tem espaços + código do server.

        Depois disso ele criptografa a variável Archivo usando a criptografia RC4, com essa chave aí.

        Então ele cria um novo arquivo (o arquivo criptografado) contendo o conteúdo da variável Stub + um delimitador para que o código possa ser separado pela stub + conteúdo da variável Archivo + o delimitador, novamente.

        Ou seja, quando esse arquivo for aberto (o arquivo criptografado), ele vai executar o código da Stub, que é basicamente a mesma coisa, só que o inverso.

        Concluímos então que ele enche o programa de lixo (vários espaços), e depois criptografa isso tudo com a chave RC4. A stub usa a mesma chave pra descriptografar, retirar os espaços, pegar o código do server e gerar um novo processo com esse código.

        É um método extremamente complexo, não terminei de comentar o código da stub todo porque não entendi muitas partes, e também não sei como remover esse tipo de criptografia. É difícil analisar trojans criptografados assim porque ao invés da stub escrever o código do server na própria memória, ela gera um novo processo, então não teria como dar breakpoints em um debugger pra ver isso acontecendo. Talvez fazendo dump da memória do processo do server, mas isso já é outro assunto.

        Enfim, é isso aí, existem vários outros tipos de criptografias, mas acho que essa é a mais comum (ou pelo menos era). Foi mal se o texto ficou repetitivo, apenas fui lendo os comentários e escrevendo tudo em uma linha apenas.

        Qualquer coisa dá um grito ai! Valeu =)
        Incrível. Muito obrigado Nick, ajudou muuitooo!!

        Comment


        • Font Size
          #5
          Os cripters servem para ofuscar codigos, masss so funciona realmente se vc for usar o virus de forma muito reduzida, ex: infectar algumas dezenas de maquinas ou ate menos, ou seja, com esses crypters nao da pra se fazer uma botnet porque os antivirus iriam detectar rapidamente um padrao.

          Ae o qeu vc tem que pensar é para que vai usar, virus normal usado de forma reduzida funciona
          Agora se for em uma botnet ae vc tera qeu cryptar em runtime todos os executaveis e ainda retirar o padrao de todo o comportamento do virus em cada maquina. É uma tarefa bem mais complexa

          Comment


          • Font Size
            #6
            Postado Originalmente por arplhmd Ver Post
            Os cripters servem para ofuscar codigos, masss so funciona realmente se vc for usar o virus de forma muito reduzida, ex: infectar algumas dezenas de maquinas ou ate menos, ou seja, com esses crypters nao da pra se fazer uma botnet porque os antivirus iriam detectar rapidamente um padrao.
            Não é bem assim, para PASSAR A SER DETECTADO o fabricante do AV tem que receber uma amostra do malware encryptado, analisar e adicionar parte do código ao banco de dados dos usuários do AV através de uma atualização...

            Se o antivírus detectar algum "padrão malicioso" o malware já vai estar detectável assim que for encryptado

            Também existem funções adicionadas ao malware, alteração dos arquivos do Windows (.exe ou .dll) para proteger o malware caso o antivírus tente removê-lo ou então baixar um outro malware através de um link caso o malware original seja neutralizado.

            Quanto a perda das infecções, nessa área é assim mesmo infecta 100, perde 30, infecta mais 50 e por aí vai...

            Dá também pra fazer vários crypters, várias modificações em Crypters já prontos, etc.

            É incrível a quantidade de pessoas que caem nesse tipo de coisa... Se o pessoal consegue infectar centenas ou até milhares de computadores usando esses Trojans, Botnets e Crypters batidos que rodam aí pela net. Imagina o que se consegue criando programas exclusivos e bons sistemas de distribuição dos servers...
            Last edited by C0d3r_Burn; 30-01-2015, 12:25.

            Comment


            • Font Size
              #7
              Postado Originalmente por C0d3r_Burn Ver Post
              Não é bem assim, para PASSAR A SER DETECTADO o fabricante do AV tem que receber uma amostra do malware encryptado, analisar e adicionar parte do código ao banco de dados dos usuários do AV através de uma atualização...

              Se o antivírus detectar algum "padrão malicioso" o malware já vai estar detectável assim que for encryptado

              Também existem funções adicionadas ao malware, alteração dos arquivos do Windows (.exe ou .dll) para proteger o malware caso o antivírus tente removê-lo ou então baixar um outro malware através de um link caso o malware original seja neutralizado.

              Quanto a perda das infecções, nessa área é assim mesmo infecta 100, perde 30, infecta mais 50 e por aí vai...

              Dá também pra fazer vários crypters, várias modificações em Crypters já prontos, etc.

              É incrível a quantidade de pessoas que caem nesse tipo de coisa... Se o pessoal consegue infectar centenas ou até milhares de computadores usando esses Trojans, Botnets e Crypters batidos que rodam aí pela net. Imagina o que se consegue criando programas exclusivos e bons sistemas de distribuição dos servers...



              Nao precisa de amostra nao, ele mesmo diz a vc que pode ser um virus, masss isso porque ele detectou um padrao depois de um tempo do virus agindo, porque se precisasse de amostras hehehehe esquece 100% das empresas infectadas intencionammente nao teria como saber que estao nunca e o virus iria ficar anos la.
              E crypters somente funciona se for muito reduzido ... agora se vc tem um crypters que executa em run-time e cada infectado é 100% diferente, ae sim demora mais para ser pego, masss é pego sim.

              E quanto a essas funcoes que vc disse para preservar o virus, realmente funciona se o virus nao for famoso e os caras dos avs verificarm que ele e bem inofensivo.

              Tudo vai depender da complexidade e atencao da empresa de antivirus ....

              E outra ..... para vc testar de FATO se o virus esta sendo pego ou nao, nao adianta enviar para sites de antivirus porque ali eles nao verificam o comportamento e sim somente statico ... uma coisa é 100% diferente da outra ....

              E como vc disse que pegam trojans famosos e eles nao sao detectados depois de passar um crypter heheheheh tente executar ele dentro um ambiente com av PAGO para vc ver se ele nao é pego.

              Comment


              • Font Size
                #8
                Até onde eu sei existe um sistema de envio de amostras e análise. Óbvio que não vão analisar cada amostra manualmente, eles devem ter ferramentas que fazem isso automaticamente...

                Agora quanto a analisar o comportamento de cada aplicativo rodando no computador e mesmo sem receber atualizações, detectar depois de um tempo o suposto "comportamento malicioso" eu nunca ví...

                Vou até dar uma pesquisada sobre isso

                Comment


                • Font Size
                  #9
                  Eu ja fiz este estudo ... desenvolvi um backdoor aqui para um trabalho, testei ele em todos os antivirus TOPs pagos, norton, avast, kaspersky, avg, macfee, panda, todos fisicamente executando na maquina, e deixei por um bom tempo, acho que 3 semanas ou mais, do nda, por um comportamente talves do linkscanner, nao sei porque nao tive tempo de analisar o qeu foi, ele detectou como virus, quem fez isso foi o norton.

                  Mas eu ja sabia que ele fazia isso porque ja li sobre faz um tempo.

                  E nos proprios anti-virus tem a opcao se vc ticar em alguns de ele detectar virus que ainda nao foram publicados, ou seja, que nao enviaram uma amostra.

                  Comment

                  X
                  Working...
                  X