|
Прячем трояны от антивирусов, пользователей, собак и кошек =)
И так у нас есть трой...НО он палится антивирями. Что делать? Идти покупать криптор - нет это не для нас... Писать свой трой или криптор - не все умеют, а иногда лень...
Теперь мы сделаем это подручными средствами за минуту... Нужно: winRAR и программа crypter, написанная Talisman'ом специально для этого дела... 1. Подготавливаем внутренность архива. Внутренности архива: Ваши файлы + 3 следующих файла: 1. run.cmd 2. 1.exe 3. crypter.exe, найдете в конце статьи ---- 1.exe - и есть ваш троянчек. В run.cmd пишем следующее: Код:
start yourprogramm.exeЧто это делает? при запуске run.cmd у нас запускается crypter.exe и все=) Теперь рассмотрим crypter.exe: Это всего навсего программа, которая меняет порядок байт в файле(то есть делает кашу). При первом запуске она меняет порядок файлов, при втором возвращает все на место. ----- И так для первого шага кладем ваш exe'шный файл в какую-то папку, туда же кладем своего трояна с именем 1.exe, туда же кладем run.cmd с кодом выше^^ и туда же кладем cryptor.exe. Теперь запускаем crypter.exe и у нас файл перепутался и антивирус теперь не палит его... 2. Делаем sfx архив: Выделяем наши файлы и жмем добавить в архив. Отмечаем пункт 'Создать SFX-архив'. Переходим на вкладку дополнительно и жмем 'Параметры SFX'. Переходим на вкладку Режимы и отмечаем пункт Скрыть все и Перезаписывать все файлы (теперь при запуске архива не будет выводиться никаких окон). Переходим на вкладку Общие. Нас будет интересовать путь для распаковки. Можно здесь прописать путь к папке в которую будут извлекаться файлы. Все файлы будут извлекаться в одну папку. Можете написать "%windir%". Иконку для результирующего исполняемого файла можно выбрать на вкладке Текст и Иконки , нажав на кнопку Обзор. На вкладке Общие в поле выполнить после распаковки пишем run.cmd --------- Дополнение: Переименуем любой exe файл в pif. О-ба! все работает так же=) но во-первых pif'a в винде не видно и во-вторых очень часто путают с документами Acrobat Reade'a ;) --------- Pif с непропатченным браузером IE запускается при клике на ссылку, не нужно нажимать сохранить и так далее... --------- Статья сделана на основе http://forum.antichat.ru/thread24979.html Она будет постепенно обновляться, так как у меня есть еще очень много полезных идей, чтоб замаскировать троян от антивирусов. ============================ Crypter.exe: Работает только с файлом с именем 1.exe http://slil.ru/23344495 Написал Talisman ============================ Просьба писать о всех недочетах и ошибках, найденных в статье |
ReanimatoR каспер 6 палит, последние обновления, обновления за месяц! Антивирь палит ИМХО.
|
Ясное дело проактивная защита будет палить=)
а проскань на вирусджоти = не будет... это еще не все=) я еще буду дописывать... 100% не палящийся способ= на этом яб не плохо заработал=) А это инфа к размышлению и додумыванию |
ReanimatoR ты б лучше криптор выложил для ламаков каких нибудь, у меня их довала, но они приватные и дать немогу(кстати я их взял бесплатно, сеть 2 месяца серфинговал)
|
Если выкладывать приватный криптор, то через пару дней о нем можно будет забыть, бо толку 0.
|
~Real F@ck!~
Угумс, я видел.... Как на dl, про тебя писали что ты ко всем в аси лез и просил криптор Смотреть тут |
ReanimatoR ненадо выкладывать криптор, я так к слову сказал, у меня их довала, а кому надо тот пусть тему или ещё что нить создаёт!
|
Раскрою секрет криптора-кашеварителя :)
вся его суть заключается в изменении сигнатур программы 1.exe - чтобы не палили антивири, как это проще всего сделать? менять местами байты экзешника, причем чтобы не гемороится - симметричным менять алгоритмом - запустил криптор четное число раз - ничего не изменилось, а нечетное - прога превратилась в мусор. Вот код на Делфи: Код:
program krip; |
Talisman +1
Ksander эт ты ачат позориш нах, я ваще в халяву попросился, меня непустили да ещё и вот это повесили, и ещё всё началось лиш из-за пинча 2.60 который с дамагелаба я выложил на античат! Mukis несмеши людей, я за 1$ криптую а ты за 3$ ! У меня ток аваст палит и сё, если у тебя даже нечё непалит ты что то с ценой загнул! |
Мда...собрались люди...
1. удалите свой флуд. Разборки в ПМ 2. это НЕ КРИПТОР! Это всего навсего штука, которая делает из файла КАШУ. И чтоб запустить файл, нужно опять запустить эту прогу=). Это можно делать любым архиватотром, который поддерживает раззиповку с паролем из командной строки(например Orien) |
Хорошая статья ;)
вот тока один вопрос, у кого есть иконка фотографий в *.ico ? |
Блин у меня проблема, я все делаю по инструкции, запускаю уже гатовый архив мне пишет ошибку что типа фаил не евляется програмой для вин32,
я как понимаю в run.cmd не выплолняется команда start crypter.exe раньше все норм работало, а теперь блин... :( может кто встречался с проблемой? + меня раньше в винраре где прописываеш адрес куда будет распоковывотся, можно было галку ставить абсолютный путь, а теперь как пропачтил винрар т.к. срок истек нильзя туда галку ставить :( вобще из-за чего может быть проблема? |
я вам сейчас возможно открою секрет, а возможно нет
насколько я знаю у NOD32 самый мощный эвристик/эмулятор кода я придумал (возможно не я первый) его обходить таким способом: записать первым байтом ExitProcess retn (0xc3), вызвать ее а потом восстановить старый байт (надо его прочитать) выдираю код (с анти-интеллектульным мусором) из одной своей фигни (все исправлять уже очень лень) Код:
; WriteProcessMemory at kernel32.ExitProcessи весь код дальше его эмулятор не выполнял. далее можно расшифровывать любым алгоритмом остальной код и запускать его. На SEH нод не реагирует. Из этого помоему уже можно что-нибудь придумать. Добавьте некоторые старые антиотладочные приёмы, сделайте навесной расшифровщик постраничный и у вас получится офигенный криптор. хэк? |
не, лучше уж я постаринке, хороший криптор + хороший джойнер))
|
Тоже пробовал криптовать Sfx архивом, но чёт не помогало, а это прокатило =)
|
Цитата:
|
Объясните пожалуйсто ну уже блин! почему у меня такая проблема?
Проблема описана тут |
Цитата:
|
Цитата:
|
Всем привет у меня проблемма. При запуске файла, вирус не успевает вовремя перекодироваться и из-за этого ничего не работает. Теперь вопрос: Как поставить задержку на .cmd? Cпасибо.
http://img183.imageshack.us/img183/1948/tkje5.png |
Цитата:
|
Надо что-бы не спрашивал... А про pause я знал... Но надо чтоб автоматом возобновлял работу.
Edit: Всё, разобрался. Тупой путь, но работает. |
Как то да проблему 1337z0r решил,
я ему ЛС отписал до него даже не дошло оно, (всмысле не открывал до сих пор) подскажите пожалуйсто почему такое вдруг произошло? было кстати все норм в начале |
пробовал команду
ping -n 1 localhost > nul но пишет что процесс ни может получить доступ к файлу т.к. этот фаил занет другим процессом посоветуйте что-нибудь, срочно нужно затроянить человека! |
Криптор работает толька з 1.ехе.! ! !Л О Ж! ! !.Открываем Блокнотом криптор.Ищем там 1.ехе и ставим заменить на "youprog" Где youprog - трой
-------------------------------- Ето кому --нефигделать--:) |
У меня во время распаковки аваст палит вирус, блочит его, криптор не находит этот вирус и виснет.
|
Ссылка битая ! Перезалейте кто нить!
|
Пользуюсь халявным криптором MushrooM CryptoR 1.0
Ароде нормальный !! Но смотря для каких целей Тем кто жестоко распространяет Зависит от принципа впаривания автоматическая связка то насрать а если так какйонить фейк или ещё чтонибуть то Ручками прячте |
| Время: 21:39 |