Несколько вопросов об совершенствовании криптора
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Несколько вопросов об совершенствовании криптора - 2010-07-13 17:58:14.860000
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
1)Алгоритм шифровки кода у меня такой: берётся кусок кода в 200h байт, этот кусок делится на части по 8 байт и все эти части перемешиваются и соответственно получается ключ из 64 байт. Ну и так для каждого следующего куска каждой секции.
Я выбрал именно этот алгоритм шифрования, так как вроде бы он энтропию не повышает, да и вариант одинакого кода при разных криптах стремится к нулю(если б был обычный хор, то был бы 1 к 256).У кого нибудь есть варианты лучшей шифровки?
2)В таблице импорта у меня рандомная и вот один из примеров её генерации. http://www.virustotal.com/ru/analisis/bf461407d6a883e5af86a965928e0c654b60ac3b165b5814ab40c12f73b351a0-1279027556
Вообще ничего, что в user32 у меня функций побольше чем в kernel32? Санзер говорил что располагать функции надо в алфавитном порядке, чтобы не палила авира. Но у меня она и не палит.На другие антивирусы эти два пункта как то влияют?
3)Стоит ли мне заново генерировать таблицу секций, чтобы размеры этих секций были пропорциональны и примерно одинаковы?
Это как то влияет на антивирусы?
4)Какие поля лучше всего делать рандомными в pe заголовке, чтобы авира и ей подобные антивирусы не палили по этому? Особенно интересно что делать с полями time_date_stamp и file_check_sum
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-13 19:52:41.050000
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Закриптовал бы лучше калькулятор скоим творением и ссылку дал.
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-13 21:23:28.223333
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
http://rapidshare.com/files/406755054/calc_cr.exe
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-13 22:10:02.100000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Вот что мне показалось подозрительным в хидере:
Major OS Version
Checksum
DLL Flags
Рандомные имена секций
Отсутствие хинтов в таблице импорта
Точка входа в предпоследней секции
В коде есть не валидные инструкции
0101F33A - 0F84 5AB2035B JE 5C05A59A
Слишком часты инструкции
JMP DWORD PTR DS:[ECX] - прыжки на апи, обычные компиляторы так не делают
Тут тоже подозрительно
0101F374 68 C3146CBC PUSH BC6C14C3
0101F379 68 65CD1E6E PUSH 6E1ECD65
т.к. обычно компилятор выравнивает на 4
PUSH 1001650
PUSH 10016C4
Да и сами значения BC6C14C3 и 6E1ECD65 выглядят подозрительно т.к. не похожи на адрес.
Антиэмуляцию нужно какую-нить
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-13 22:27:25.526666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Антиэмуляция есть, причём обламывает она все антивирусы. (getlasterror получает код ошибки который и является ключом второго расшифровщика). Насчёт антиотладки и антитрассировки думаю это бессмысленно, так как если человек начнёт рыться в коде, то он полюбому знаком с ассемблером, а там где асм там и знания прёмов антиотладки и антитрассировки в двух шагах.
То что точка входа не в первой секции ну насчёт этого хз, но мне казалось что антивири обращают внимание если только точка входа в последней секции.
Насчёт хинтов, я видел немного приложений, которые бы их юзали
А что ставить в эти поля:
Major OS Version
Checksum
DLL Flags
Чтобы убить подозрения антивирусов? Рандомные значения, нули, или что?
JMP DWORD PTR DS:[ECX] у меня в генераторе стоит отношение 50 на 50 на вызов call и на jmp поставлю тогда на 1 к 4
Вообще конечно полиморфный генератор надо доробатывать. думаю помимо целых регистров в команды фейковые добавить и дробные регистры а также генерацию фейковых циклов, правда вот только думаю, стоит ли, вроде бы по маскам этот полиморф антивири никак не просекут.
JE 5C05A59A Согласен, что если бы условие там выполнялось то не прыгало бы никуда. Но условие там никогда не выполнится
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-13 23:03:59.693333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
А что ставить в эти поля:
Major OS Version
Checksum
DLL Flags
Чтобы убить подозрения антивирусов? Рандомные значения, нули, или что?
Посмотри что компиляторы ставят чаще всего
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-16 05:04:16.856666
|
|
|
smadov
Сообщений: 73
Оценки: 0
Присоединился: 2008-06-11 13:19:08.676666
|
quote:
В коде есть не валидные инструкции
0101F33A - 0F84 5AB2035B JE 5C05A59A
А стоит ли обращать на это внмание?
Уважаемые, а так ли страшен чёрт, как его малюют?
…В проектируемом мною крипторе шифруется всё, кроме, естессно, заголовков, директорий, служебного кода (кода расшифровывальщика)
Ну то есть в секции кода (и в других тоже) суть мусор. И вот я зашифровал так безобидный файлик, где, я повторяюсь, вообще бессмыслица и скормил его антивирям по приведённой выше ссылке.
http://www.virustotal.com/ru/
…Ругнулся один задрипанный
Comodo54412010.07.16Heur.Packed.Unknown
И то я так понимаю, он рявкнул, что упаковано неизвестным протектором.
Так чтол делайте выводы. Мало ли кто чем пакует… У нас демократия, чем хочу, тем и пакую…
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-16 09:48:19.610000
|
|
|
smadov
Сообщений: 73
Оценки: 0
Присоединился: 2008-06-11 13:19:08.676666
|
Загадками говорить и многозначительно ухмыляться я тоже умею. Дойдёт очередь и до пинча, не беспокойтесь. Просто я не ставлю телегу впереди лошади. Мне щас нужно:
Написать код, который бы восстанавливал оригинальную IAT
Написать код-расшифровывальщик всего этого дела (зашифровывальщик уже готов)
Ну и скомпоновать, понятно, всё это дело. Подобрать сопли и прочее.
…А вопрос всё же предметен и открыт. Если антивири ругаются на пинч, распознавая его по каким-то им одним известным пинчевским признакам, это одна ситуация.
Если антивири ВООБЩЕ подозрительно относятся к сколько-нибудь невалидным конструкциям- НЕЗАВИСИМО ОТ ТОГО, пинч это или не пинч (а именно так я понял ВАшу мысль из поста номер 4, вот она на всякий случай)
quote:
В коде есть не валидные инструкции
0101F33A - 0F84 5AB2035B JE 5C05A59A
ЭТо ДРУГАЯ ситуация.
То есть обсуждаем, ругаются ли антивири на всяукую херь, независимо пинч это или нет.
Вроде как не ругаются.
А если ругаются на ТАК ЗАКРИПТОВАННЫЙ пинч, то, наверное, как-то по-другому его определяя, угу?
Что вот пинч, вот его признаки. А не потому, что мусор.
Или я не прав в чём-то?
зы Кстати, автор. как я понял, криптовал тоже обыкновенный легальный файлик. Кальк.
|
|
|
|
|
RE: Несколько вопросов об совершенствовании криптора - 2010-07-16 10:54:31.220000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
То есть обсуждаем, ругаются ли антивири на всяукую херь, независимо пинч это или нет.
Они могут на что угодно ругаться, так же и на не валидные адреса, точнее сказать если из-за этих самых адресов дизасм выйдет кривой - это будет лишний флажек в пользу подозрительного файла.
|
|
|
|
|
|
