Почему не криптуется Зевс 1.3.1.1
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Почему не криптуется Зевс 1.3.1.1 - 2010-06-21 20:37:03.926666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
В общем написал свой криптор. Обычные трои типо пойсона, пинча и тому подобные спокойно криптуются а вот с зевсом трабла.
Кто-нибудь знает в чём тут может быть дело? При запуске трой расшифровывается норм но проходит пару секунд и вылетает ошибка "winlogon.exe - Ошибка приложения". и если нажать ок, то выскакивает синее окно и комп перезагружается.
Видел на вашем форуме, sunzer говорил, что надо сохранять значения регистров, так у меня сохраняются они но всё равно эта херня вылазит.
Чуть о структуре крипта: в конце добавляет 2 секции(секция кода и секция фейкового импорта)
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-24 01:28:27.993333
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Закриптуй Hello World своим криптером, и дай ссылку.
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-25 15:29:16.723333
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
http://rapidshare.com/files/402624313/hello.rar.html
Пароль 123321
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-26 00:26:22.393333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Если процесс падает, значит в него попали левые данные. Зевс трой довольно капризный, насколько я знаю раньше он после копирования себя в системную директорию дописывал себе в оверлей левые данные (возможно этим автор пытался получать рандомный размер файла и как следствие другую контрольную сумму файла, это чисто мое имхо).
Могу предположить что и сейчас он юзает оверлей. В чем может быть трабла: при запуске файла оверлей не проецируется в память процесса, т.е. он есть только на диске. Если оверлей используется программой, то дотянутся до него можно только зная размер своего файла, либо это смещение жестко прописывается в программе, либо юзают GetFileSize и полагаются на то, что в конце файла именно оверлей. При кривом крипте исходный файл целиком вместе с оверлеем записывается в результирующий файл, размер файла при этом увеличивается и как следствие - смещения указывающие на оверлей теперь указывают на совсем другие данные.
Придется тебе его отреверсить, посмотри что он пишет в процесс winlogon.exe, возможно создает в нем дополнительный тред.
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-26 13:35:48.016666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Да не, дело не в оверлее точно, так как у меня в этой версии зевса его там вообще нету.
А насчёт реверса так там ошибка вообще в какой то левой библиотеке выскакивает, чёто связанное с socks. И чтобы понять в чём там дело, это придётся уйму, просто уйму времени грохнуть. Может у кого ещё есть варианты от чего такое может быть?
Tls, секции ресурсов, боунд импорта, этого всего там в помине нет. Кстати, вообще нормально, что я виртуальные размеры(если они меньше реальных) у всех секций делаю равными реальным размерам? По идее тут ничего криминального для файла в этом не наблюдается
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-26 14:59:40.413333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
ORIGINAL: xmystikx
Кстати, вообще нормально, что я виртуальные размеры(если они меньше реальных) у всех секций делаю равными реальным размерам? По идее тут ничего криминального для файла в этом не наблюдается
Конечно нет, к примеру последняя секция имеет неинициализированные данные и виртуальный размер 2000h, а физически на диске занимает 200h, при этом виртуальное выравнивание равно 1000h. Ты делаешь ее виртуальный размер равный 200h, тогда при проецировании ее в память она будет выровнена до виртуального выравнивания т.е. до 1000h. Тогда как ей для работы необходимо 2000h. Следом записываются твои две секции, угадай куда будут указывать ссылки на неинициализированные данные? В твою секцию, которая может даже и не иметь прав на запись.
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-26 16:14:31.833333
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Флинт, ты видимо невнимательно прочитал то что я написал. Там сказано, что я делаю виртуальный размер секции равным её реальному размеру, только в том случае, если Её виртуальный размер меньше реального. А если б было наоборот, то и ежу понятно, что нельзя делать их равными
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-26 16:24:15.830000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Ну-да, не совсем внимательно )
Ладно, так ты смотрел что он делает с winlogon.exe? Внедряется в существующий процесс или создает новый? Сравни данные с которыми работает криптованный и чистый зевс в месте возникновения ошибки.
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-27 16:38:14.086666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Вообще я пробовал отреверсить, но никак не могу дойти до того места, где происходит ошибка+ещё бесит, что если перескакиваешь его, то выскакивает эта хрень и вирта уходит в ребут. И что интересно, что адреса в ошибке вообще левые какие-то.Вот скрин http://s43.radikal.ru/i102/1006/7d/25fb76d3ae20.jpg
Там эти адреса в ollydbg никак даже и не посмотришь. Я так предполагаю, что эти адреса принадлежат адресному пространству процесса winlogon.exe, только толку то от этого.
Кстати, попробовал закриптовать вашим криптором(санзер выложил в паблик первую версию крипта), и зевс вылетел с такой же ошибкой. Поэтому, я предполагаю, что вы сталкивались с этой проблемой и как-то решили её.(Или последняя версия вашего крипта тоже не умеет криптовать зевса 1.3.1.1?)
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-29 10:07:27.490000
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
UP
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-29 10:49:53.666666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Выложи два зевса, криптованный и оригинал.
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-29 14:51:29.246666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
http://rapidshare.com/files/403795177/Archive.rar.html
Flint_ta, пароль на архив в личке
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-06-30 12:54:49.100000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
В общем сейчас нету времени ковыряться дальше, завтра может быть продолжу. Трабла вот в чем:
Зевс сам себя проецирует в процесс winlogon.exe и создает там дополнительный поток. Поток во время работы пытается переместить проекцию еще в одно место сл. кодом
MOV ESI,DWORD PTR SS:[ESP+14] - Память откуда будет перемещен массив (Массив A)
MOV EDI,DWORD PTR SS:[ESP+10] - Память куда будет перемещен массив (Массив Б)
MOV ECX,DWORD PTR SS:[ESP+18] - Размер массива = SizeofImage криптованного файла (size X)
REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] - Перемещаем массив
Массив A имеет размер = SizeofImage оригинала зевса, size X = SizeofImage криптованного файла, короче X больше чем Массив A
и инструкция REP MOVS пытается херачить дальше, а страница памяти массива А уже закончилась. Получается ошибка.
Возможный вариант решения проблемы: Размер SizeofImage криптованного файла берется из хидера процесса, значит можно попробовать подменять SizeofImage на оригинальный перед переходом на OEP
|
|
|
|
|
RE: Почему не криптуется Зевс 1.3.1.1 - 2010-07-03 02:30:45.703333
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Ага,спасибо, ошибка была в этом. Тему можно закрывать.
|
|
|
|
|
|
