 |
|
12.11.2007, 10:36
|
|
Участник форума
Регистрация: 11.07.2007
Сообщений: 190
С нами:
9913237
Репутация:
185
|
|
Вызов системных сервисов через sysenter или int2e и переход на ОЕР.
Можно просто:
push 0
push 0
push 0
push OEP
mov edx,esp
sysenter
00401000 > 6A 31 PUSH 31
00401002 6A 10 PUSH 10
00401004 B8 43110000 MOV EAX,1143
00401009 50 PUSH EAX
0040100A 68 13104000 PUSH _1650674.00401013
0040100F 89E2 MOV EDX,ESP
00401011 0F34 SYSENTER
00401013 83C4 0C ADD ESP,0C
00401016 68 E8030000 PUSH 3E8
0040101B FF15 78104000 CALL DWORD PTR DS:[<&kernel32.Sleep>] ; kernel32.Sleep
00401021 6A 31 PUSH 31
00401023 6A 10 PUSH 10
00401025 B8 43110000 MOV EAX,1143
0040102A 50 PUSH EAX
0040102B 68 36104000 PUSH _1650674.00401036
00401030 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8]
00401034 CD 2E INT 2E
00401036 83C4 10 ADD ESP,10
00401039 C3 RETN
Последний раз редактировалось Lamia; 12.11.2007 в 10:57..
|
|
|
12.11.2007, 13:04
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
С нами:
10531106
Репутация:
1338
|
|
Lamia Можешь сказать в двух словах про sysenter или int2e. Как они юзаются 
|
|
|
|
12.11.2007, 17:24
|
|
Познающий
Регистрация: 10.01.2007
Сообщений: 67
С нами:
10175247
Репутация:
63
|
|
потестил метод nikize, приятно удивлен=) теслил на Васькином пинче, SofwarePassport 5.02
результат:
A-Squared Found nothing
AntiVir Found HEUR/Crypted
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found Mal/Basine-C
VirusBuster Found nothing
VBA32 Found nothing
сцылка на SP: _http://rs228tl.rapidshare.com/files/63182308/1001212/SoftwarePassport_Armadillo_v5.02.rar
сцылка на проект nikize : http://rs40.rapidshare.com/files/8749860/projects.arm
|
|
|
|
12.11.2007, 17:56
|
|
Участник форума
Регистрация: 21.04.2007
Сообщений: 289
С нами:
10029911
Репутация:
368
|
|
А вот и от меня небольшой крипторчег N-Code v 0.1.
Простой,ничем не примечательный такой криптор который справляется со своими основными обязанностями.
Делал на основе криптора от Слэша Crypter 3.1.
N-Code 0.1
[+]
-Шифрует большинство файлов и делает их невидимыми от анти-вирусов,не всех правда =)
- Криптует файлы пакованные UPX.
[-]
-Есть множество багов. Первая версия,как ни крути. Но этот проект будет постоянно продвигатся.
-Не умеет пока редактировать имя секции.
Скрин:
Ссылки:
http://webfile.ru/1592150
http://rapidshare.com/files/69190463/N-Code.rar.html
Пароль:
ncode |
|
|
|
12.11.2007, 19:12
|
|
Новичок
Регистрация: 24.10.2007
Сообщений: 26
С нами:
9761940
Репутация:
6
|
|
NeXArmAor
После криптовки твоим криптором,троян не работвет 
P.S. Очень бы хотел познакомиться с девушкой под ником Lamia
|
|
|
|
12.11.2007, 19:16
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
С нами:
10531106
Репутация:
1338
|
|
Spac0om
Да Lamia девченка - СУПЕР
NeXArmAor
Спс. Потестим
|
|
|
|
12.11.2007, 21:04
|
|
Постоянный
Регистрация: 24.02.2006
Сообщений: 447
С нами:
10636106
Репутация:
705
|
|
2kalpsik NeXArmAor Не знаю почему, ваши крипторы портят файл. Каспер ничего не находит, а файл в результате получается поврежденным((
|
|
|
|
12.11.2007, 21:10
|
|
Познающий
Регистрация: 10.01.2007
Сообщений: 67
С нами:
10175247
Репутация:
63
|
|
gibson, проверял на своей машине и сегодня пару часов назад поимел одного юзера... так что по поводу корректности работы вопрос спорный.... могу дать затестить пинча, закриптованного SoftwarePassport, сцылку на который я дал. или любой другой экзешник на твой выбор
|
|
|
|
12.11.2007, 21:36
|
|
Участник форума
Регистрация: 21.04.2007
Сообщений: 289
С нами:
10029911
Репутация:
368
|
|
Spac0om,все зависит от того что криптуеш,если пинч от васки тогда да,с ним глюки неизбежны,пока над этим работаю. Также важно чтобы файл до криптовки был чистым,т.е незапакованным и незакриптованным чужим софтом,иначе ошибки также неизбежны. Ксинч например прекрасно работает без включенной паковки и криптовки.
|
|
|
|
12.11.2007, 21:44
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
С нами:
10531106
Репутация:
1338
|
|
Сообщение от gibson
2kalpsik NeXArmAor Не знаю почему, ваши крипторы портят файл. Каспер ничего не находит, а файл в результате получается поврежденным((
Попробуй упаковать свой файл UPX, а потом по верх уже "N-CODE"'om. Поверх UPX автор гарантирует работоспособность.
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Социальная инженерия
|
The real Dr.Lector |
Болталка |
10 |
22.12.2008 20:45 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
