PHP Forum - Coding Board
Juli 19, 2018, 04:57:24 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News:
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
Seiten: [1]
  Drucken  
Autor Thema: Crypter gegen Kaspersky UD machen  (Gelesen 358 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
IoNiX
Newbie
*
Beiträge: 24


Profil anzeigen E-Mail
« am: März 31, 2009, 06:49:39 »

Hey Leute

ich sitze nun schon einige Tage an meinem ersten Crypter. Es funzt auch alles super, nur ich bekomme die Kaspersky Detection nicht weg.

Habt ihr das nen Tipp wie ich das Wegbekommen könnte?

Als Server dient ein Poisen Ivy Server.

Vielen Dank
Lg IoNiX
Gespeichert
Steve
Full Member
***
Beiträge: 135


318417307
Profil anzeigen E-Mail
« Antworten #1 am: März 31, 2009, 07:07:59 »

Es wäre mal sinnvoll zu sagen, als was Kaspersky ihn denn erkennt.
Gespeichert

Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.
Nop0x90
Full Member
***
Beiträge: 197


541820
Profil anzeigen E-Mail
« Antworten #2 am: März 31, 2009, 07:16:48 »

Zitat von: Steve;18315
Es wäre mal sinnvoll zu sagen, als was Kaspersky ihn denn erkennt.

Erstens das, und zweitens: Wie funktioniert dein crypter? Ist er runtime oder scantime detected? API crypting benutzt? Anti HEUR benutzt?

Wir brauchen mehr infos...

greetz
Gespeichert

greetz Nop (ehem. Av0c4d0)
-Coding & RE


Darkc0der
Newbie
*
Beiträge: 3


Profil anzeigen E-Mail
« Antworten #3 am: März 31, 2009, 07:33:50 »

Ich hab mal gehört vor jede Funktion ein Sleep(100) Setzten. Is aus irgend nem Blog, kp^^
Gespeichert
Nop0x90
Full Member
***
Beiträge: 197


541820
Profil anzeigen E-Mail
« Antworten #4 am: März 31, 2009, 07:55:42 »

Zitat von: Darkc0der;18322
Ich hab mal gehört vor jede Funktion ein Sleep(100) Setzten. Is aus irgend nem Blog, kp^^

Stimmt, das wäre sehr nützlich, weil das Programm dann vor jeder funktion eine zehntel Sekunde pause macht. Das wird den Virenscanner so verwirren, dass er sich sogar selbst deinstalliert.

Ne mal im Ernst, was solln das bringen? ich glaube ausserdem nicht dass es im sinne des erfinders ist, dass die stub dann n paar sekunden braucht bis sie alles in den RAM geladen hat, weil der Programmierer meinte vor jedes WriteProcessMemory n Sleep zu setzen xD

greetz
« Letzte Änderung: März 31, 2009, 08:02:15 von Nop0x90 » Gespeichert

greetz Nop (ehem. Av0c4d0)
-Coding & RE


berlinermauer
Full Member
***
Beiträge: 129


Profil anzeigen E-Mail
« Antworten #5 am: März 31, 2009, 08:04:25 »

Gespeichert


IoNiX
Newbie
*
Beiträge: 24


Profil anzeigen E-Mail
« Antworten #6 am: März 31, 2009, 09:02:02 »

Hey Leute, erstmal danke für eure Antworten.

Ich lade den immer bei NoVirusThanks hoch und schau ob ich es geschafft habe ihn mehr ud zu machen ^^

Kaspersky erkennt ihn als: HEUR:Backdoor.Win32.Generic

Detected wird er schon beim Scannen, aber halt nur von Kaspersky.

Was meinst du mit Strings vollschreiben?

Vielen Dank!
Lg IoNiX
Gespeichert
Nop0x90
Full Member
***
Beiträge: 197


541820
Profil anzeigen E-Mail
« Antworten #7 am: März 31, 2009, 09:05:55 »

novirusthanks is sehr sehr sehr ungut, wenn du willst dass das noch länger UD bleibt... HEUR ist schonmal interessant, du wirst warscheinlich anti Heuristic funktionen brauchen

greetz
Gespeichert

greetz Nop (ehem. Av0c4d0)
-Coding & RE


Slayer616
Entwickler Team
Spender
Moderator
Hat das Battle gewonnen
Sr. Member
****
Beiträge: 426


Profil anzeigen E-Mail
« Antworten #8 am: März 31, 2009, 09:06:23 »

Du hast "Stub" oder "Server" in deiner Datei. Suche mal mim Hexeditor...
Gespeichert




Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
Und er will dich niederhalten mit Geschrei durch Bein und Mark
Mit Verboten und Zensur kann er zwar den Kampf erschweren
Doch niemals wird ein Richterspruch den freien Geist bekehren.

Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
Derer, die der Lüge dienen, denn schon bald werden sie fallen.
kamicaze
Newbie
*
Beiträge: 5


Profil anzeigen E-Mail
« Antworten #9 am: März 31, 2009, 09:09:08 »

Spar dir die Strings, das bringt nichts!
Ich geh mal davon aus du benutzt den VB-Befehl "Split (String, Delimiter)" in der Stub! Probier mal dieses Modul von cobein aus, das hat eine Zeit lang Kaspersky gestealtht, kann dir aber nicht garantieren, dass es immer noch so ist!

Code:
'---------------------------------------------------------------------------------------
' Procedure : Splitter
' DateTime : 16/09/2008 22:58
' Author : Cobein
' Mail : cobein27@yahoo.com
' Purpose : Complete Split Replacement
'---------------------------------------------------------------------------------------
Private Function Splitter(ByVal Expression As String, Optional ByVal Delimiter As String, Optional ByVal Limit As Long = -1) As String()
Dim lLastPos As Long
Dim lIncrement As Long
Dim lExpLen As Long
Dim lDelimLen As Long
Dim lUbound As Long
Dim svTemp() As String
lExpLen = Len(Expression)
If Delimiter = vbNullString Then Delimiter = " "
lDelimLen = Len(Delimiter)
If Limit = 0 Then GoTo QuitHere
If lExpLen = 0 Then GoTo QuitHere
If InStr(1, Expression, Delimiter, vbBinaryCompare) = 0 Then GoTo QuitHere
ReDim svTemp(0)
lLastPos = 1
lIncrement = 1
Do
If lUbound + 1 = Limit Then
svTemp(lUbound) = Mid$(Expression, lLastPos)
Exit Do
End If
lIncrement = InStr(lIncrement, Expression, Delimiter, vbBinaryCompare)
If lIncrement = 0 Then
If Not lLastPos = lExpLen Then
svTemp(lUbound) = Mid$(Expression, lLastPos)
End If
Exit Do
End If
svTemp(lUbound) = Mid$(Expression, lLastPos, lIncrement - lLastPos)
lUbound = lUbound + 1
ReDim Preserve svTemp(lUbound)
lLastPos = lIncrement + lDelimLen
lIncrement = lLastPos
Loop
ReDim Preserve svTemp(lUbound)
Splitter = svTemp
Exit Function
QuitHere:
ReDim Splitter(-1 To -1)
End Function


Das umgeht allerdings nicht den ProAktiven Schutz von Kaspersky! Zwinkernd
Gespeichert
IoNiX
Newbie
*
Beiträge: 24


Profil anzeigen E-Mail
« Antworten #10 am: März 31, 2009, 11:46:29 »

CODE]
Function XOREncryption(DataIn As String, CodeKey As String) As String
    Dim lonDataPtr As Long
    Dim strDataOut As String
    Dim intXOrValue1 As Integer, intXOrValue2 As Integer

    For lonDataPtr = 1 To Len(DataIn)
        intXOrValue1 = Asc(Mid$(DataIn, lonDataPtr, 1))
        intXOrValue2 = Asc(Mid$(CodeKey, ((lonDataPtr Mod Len(CodeKey)) + 1), 1))
        strDataOut = strDataOut + Chr$(intXOrValue1 Xor intXOrValue2)
    Next lonDataPtr
   XOREncryption = strDataOut
End Function
[/CODE]

So wird Encrypted: Enc.Encode64(XOREncryption(Data, "lol"))
So wird Decrypted: Enc.Decode64(XOREncryption(File, "lol"))

Ohne die XOR verschlüsselung läuft alles 1a

Ich muss irgendwas falsch gemacht haben, aber was?
Danke ;
Code:
Function XOREncryption(DataIn As String, CodeKey As String) As String
    Dim lonDataPtr As Long
    Dim strDataOut As String
    Dim intXOrValue1 As Integer, intXOrValue2 As Integer

    For lonDataPtr = 1 To Len(DataIn)
        intXOrValue1 = Asc(Mid$(DataIn, lonDataPtr, 1))
        intXOrValue2 = Asc(Mid$(CodeKey, ((lonDataPtr Mod Len(CodeKey)) + 1), 1))
        strDataOut = strDataOut + Chr$(intXOrValue1 Xor intXOrValue2)
    Next lonDataPtr
   XOREncryption = strDataOut
End Function


So wird Encrypted: Enc.Encode64(XOREncryption(Data, "lol"))
So wird Decrypted: Enc.Decode64(XOREncryption(File, "lol"))

Ohne die XOR verschlüsselung läuft alles 1a

Ich muss irgendwas falsch gemacht haben, aber was?
Danke Zwinkernd
Gespeichert
td_armor
Super-Moderator
Haxx0r

Sr. Member
****
Beiträge: 288


Profil anzeigen E-Mail
« Antworten #11 am: März 31, 2009, 11:51:48 »

Vergiss nicht das XOR alles Unterstützt und auf EOF geachtet?

Mfg

td
Gespeichert


IoNiX
Newbie
*
Beiträge: 24


Profil anzeigen E-Mail
« Antworten #12 am: April 01, 2009, 12:07:02 »

Hi, was meinst du damit, dass XOR alles unterstützt?

IoNiX
Gespeichert
Seiten: [1]
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines | New Look by Nolt Prüfe XHTML 1.0 Prüfe CSS