Очень доступное и понятное видео как чистить софтинку.
Нужный софт:
-Free Hex Editor
-odbg
-SignDetect
-PEiD
Добавлено (22.06.2013, 13:38)
---------------------------------------------
Еще одно видео по читске джойнера с помощью
WinHex'a от наших испанских колег
Нужный софт:
-winhex
Добавлено (22.06.2013, 13:55)
---------------------------------------------
Чистка крипторов на примере FreeCryptor
Все наверно знаю новое творение GLOF'a под названием
Free Cryptor. Это довольно неплохой криптор exe файлов.
Самое главное что он бесплатный и постоянно обновляется.
GLOF наверно устаёт постоянно чистить его и вот я решил
ему так сказать помочь да и сам разобраться.
Нужный софт:
-freecryptor
ну и какой-нибудь маленький ехе (чем меньше - тем лучше)
Потом запускаем winhex и открываем в ней вашу софтину и смотрим сам
код, благо он весит мало и саму структуру запомнить
довольно просто:
Теперь криптуем Free Cryptor'ом и опять же открываем
в WinHex'e и вот начинаем сравнивать криптованый файл
от не криптованого:
как видим до "a.idata" вроде всё одинаковое, а вот после
видим ".AFCryptor" - это имя секции криптора, её можно
переименовать на свой вкус ибо особой роли не играет.
Далее мы видим непонятный текст - это наш зашифрованный
Hello World после до "ssageBoxW" почти всё так же, а вот
после видим некий "стаб" криптора который так сказать
идёт до конца ехе файла:
почти в самом конце видим "FCryptor"....c:\1.exe" ну это
собственно то же имя что и было приписано в имени секции
криптора и путь до криптованого файла, их можно затереть
нафиг, ибо опять же роли не играет =))
а вот теперь давай начнём разбираться со стабом, ибо именно
по нему обычно аверы детектят криптор.
Как же узнать по какой именно сигнатуре ав детектит? Ну
мне на ум нечего не пришло кроме как поочерёдно затирать
по 1 символу и проверять перестал палица или нет.
Ну вот затираем "3", проверяем - палица, затираем "Т",
проверяем - палица, и так далее..... и доходим мы до
последовательности "<.hPT":
видим что после затирания знака "." (а именно его HEX
значения 02) палица перестаёт! Так вот значит это и
есть та сигнатура (или часть её) по которой АВ детектит.
Теперь проверяем на что можно заменить, попробуем
заменить на символ "0" (ноль, его HEX значение "30")
проверяем - не палится, проверяем - работает. Такс а
что же делать если и "0" добавят в базу сигнатур? Тогда
можно заменить на что-то другое, например на HEX
значение "00" и т.д.
Ну вот теперь мы знаем по какой сигнатуре детектит и на
что заменять по этому криптуем уже свой вредоносный код
(будь то пинч или ещё что-то) открываем его в WinHex'e
ищем последовательность байт "8B 02 90 50 54"
находим и меняем в нём HEX значение "02" на "30" к примеру
и сохраняем теперь наш код не палится .....
У вас наверно возник вопрос а как это дело 1 раз сделать
и больше не повторять?? Я расскажу вам для этого
можно исправить сам криптор. Так как криптор запакован
WinUpack'ом его можно распаковать к примеру статик
анпакером который можно скачать тут:
ASPack
Распаковали, теперь в нём то же ищем последовательность
байт 02 90 50 и заменяем 02 на 00 или 30 или что вам в
голову взбредет =) теперь сохраняем криптор и юзаем его
теперь он очищен :Р
з.ы. теперь примерно таким способом можно чистить и
другие сигнатурные крипторы ) это только пример,
дальше развивайте идею сами
9999
Сообщений: 
Репутация: 
Подарки: 
Замечания: 
тебе видней переноси . сайт не мой я тут не командую . 
