ANTICHAT — форум по информационной безопасности, OSINT и технологиям

размыщление о криптографии
взял я как то криптор RCryptor 1.6с и задался целью унать как же всетаки детектяк антивири
так как этот криптор в паблике то можно смело тестить на джоти (хотя это тоже зло)
итак открываем криптованый пинчь от слеша в ольги при этом отключаем анализ (чтоб не мутил воду)и смотрим 3 цикла декриптора
т.е к каждой секции криптор пременил свой алгоритм криптовки хор итак начинаем их уберать забивая нопами и видм и отпровляем на проверку (моя цель не прятать от каспера так как у него эвристик почти не работает и он детектит только по стабу по этому он нас не интересует стоит немного изменить стаб и все про каспера забыли) прокручу вперед нудную проверку и вот результат все палят только по первому циклу дальше наверное их не интересует смотрим цикл декрипта

13178015 B8 00101413 MOV EAX, pinch.13141000
1317801A 3D 007E1413 CMP EAX, pinch.13147E00
1317801F 74 06 JE SHORT pinch.13178027
13178021 8030 D7 XOR BYTE PTR DS:[EAX], 0D7
13178024 40 INC EAX
13178025 ^ EB F3 JMP SHORT pinch.1317801A

думаю разберать его нет смысла и так все ясно хотя для навечков напишу чтоб было понятно

MOV EAX, pinch.13141000 вставляет значение 13141000 в операнд EAX (13141000 это значение соотвецтвует началу кода криптованой программы т.е пинча)
CMP EAX, pinch.13147E00 сравнивает значение операнда EAX с 13147E00 (естественно оно отличаеться потому как мы только что воткнули туда 13141000 )
JE SHORT pinch.13178027 так как после сравнения выше результат был не равны по этому ничего не делаем если же подходит то прыгаем и цикла дальше (13147E00 это значение конца кода тоесть секции кода)
XOR BYTE PTR DS:[EAX], 88собственно дешифровка (берет значение еах из дампа а там находиться криптованый кусок програмы раскриптовывает и ставит на место)
INC EAX прибовляет 1 к EAX (если там было 13141000 то будет 13141001 что соотвецтвует второму символу кода криптованой программы)
JMP SHORT pinch.1317801A это прыжок на (CMP EAX, pinch.13147E00) и цикл повторяеться
за исключением того что в еах значение 13141001 и происходит декодировка второго символа
ИТД как ты понял после так этого цикла все байты криптованой
программы кода реаскриптовываються и значение еах становиться 13147E00 тогда при сравнении нас выкидывает из цыкла

надеюсь сечас стало все понятно так как я убил на эту писанину 2 мин
если нет то СРОЧНО прекрати читать дальше и посмотри мультики по ТНТ будет полезнее

ой о чем это я ах да криптовка теперь о решении задачи есть 2 варианта а то и больше если быть точнее то нод детектит именно вот это XOR BYTE PTR DS:[EAX], 0D7 ну а если еще точнее то его эвристик заходить по этому алгоритму 0D7
ракриптовывая этот кусок программы и арет вывод нужно запутать эвристик так чтобы нод замучился искать хе хе и не только он
к примеру можно закриптовать этот кусок предварительно вставив туда декриптор если хватит места ибо его там не очень много я имею в виду свободного можно попробовать закинуть цифру алгоритма в стек и ли еще куда ну это вам решать удачной криптовки


п.с
если что не так извеняйте голова болит жудко (похмелье) Парни с праздником вас !