ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
26.02.2008, 12:48
|
|
Постоянный
Регистрация: 09.11.2006
Сообщений: 639
Провел на форуме:
1917742
Репутация:
541
|
|
дее, аплиб и лзма юзают пакеры а не крипторы, крипторы вбольшинстве своем юзает ксор, иногда рц4.
|
|
|
26.02.2008, 15:22
|
|
Участник форума
Регистрация: 24.01.2008
Сообщений: 110
Провел на форуме:
359408
Репутация:
209
|
|
вот у глоффа в крипторе такая защита была а спалили всетаки хотя эвристик стаб так и не прошел просто палят не сам стаб нужно менять алгоритм шифровки
к стати о крипторе глоффа взял ся я его разабрать как же он всетаки раскриптовывает программу итак как обычно открываем в олге смотрип калл переход на стаб жмемь ф7 и мы в нем
далие идет цикл модификации сигментных регистров обычная ловушка для аверов
13178032 90 NOP
13178033 40 INC EAX
13178034 90 NOP
13178035 8A10 MOV DL, BYTE PTR DS:[EAX]
13178037 90 NOP
13178038 891424 MOV DWORD PTR SS:[ESP], EDX
1317803B 90 NOP
1317803C 90 NOP
1317803D D90424 FLD DWORD PTR SS:[ESP]
13178040 90 NOP
13178041 90 NOP
13178042 D9FA FSQRT
13178044 90 NOP
13178045 D95C24 FC FSTP DWORD PTR SS:[ESP-4]
13178049 90 NOP
1317804A 8B5C24 FC MOV EBX, DWORD PTR SS:[ESP-4]
1317804E 90 NOP
1317804F 81F3 C2FC1D1C XOR EBX, 1C1DFCC2
13178055 ^ 75 DB JNZ SHORT pinch.13178032
на ней мы заострять внимание не будем идем дальше
13178071 B9 10781413 MOV ECX, pinch.<ModuleEntryPoint>
13178076 C741 0C 2424E2B>MOV DWORD PTR DS:[ECX+C], B4E22424
1317807D C741 08 E230101>MOV DWORD PTR DS:[ECX+8], 121030E2
13178084 C741 04 4C10121>MOV DWORD PTR DS:[ECX+4], 1612104C
1317808B C701 CCF614C3 MOV DWORD PTR DS:[ECX], C314F6CC
если вы посмотрите в дамп ECX+C то увидите там начало программы от куда
мы ушли на стаб теперь хе мы вставляем туда вот эти значения разбирать это не будем кому
интиресно вернеться туда и посмотрит (там появились новые команды)
больше с этим возиться не будем идем дальше
13178093 68 177F1314 PUSH 14137F17
13178098 68 F8F8F8F8 PUSH F8F8F8F8
1317809D 68 07690707 PUSH 7076907
131780A2 68 07171314 PUSH 14131707
131780A7 68 8C030707 PUSH 707038C
131780AC 68 12861314 PUSH 14138612
131780B1 68 13060707 PUSH 7070613
131780B6 68 53811314 PUSH 14138153
131780BB 68 9C070707 PUSH 707079C
131780C0 68 628C1314 PUSH 14138C62
131780C5 68 07110707 PUSH 7071107
131780CA 68 07971314 PUSH 14139707
131780CF 68 07170707 PUSH 7071707
131780D4 68 07771014 PUSH 14107707
131780D9 68 EBFBF8E7 PUSH E7F8FBEB
131780DE 68 03230084 PUSH 84002303
131780E3 68 84C7EBC6 PUSH C6EBC784
131780E8 68 5F84EB87 PUSH 87EB845F
131780ED 68 CE4FFFF8 PUSH F8FF4FCE
131780F2 68 008E1627 PUSH 27168E00
131780F7 68 D9D0C4EC PUSH ECC4D0D9
131780FC 68 9E4F0FF9 PUSH F90F4F9E
13178101 68 0E4F27F8 PUSH F8274F0E
13178106 68 87100B6B PUSH 6B0B1087
1317810B 68 103E4F27 PUSH 274F3E10
13178110 68 2B2726EE PUSH EE26272B
13178115 68 7E4FF900 PUSH 0F94F7E
1317811A 68 018E161F PUSH 1F168E01
1317811F 68 8E26D100 PUSH 0D1268E
13178124 68 2B070707 PUSH 707072B
13178129 68 84C387EF PUSH EF87C384
1317812E 68 9797730F PUSH 0F739797
13178133 68 5F84EB87 PUSH 87EB845F
13178138 68 97863B23 PUSH 233B8697
1317813D 68 9784C32F PUSH 2FC38497
13178142 68 7305ECF8 PUSH F8EC0573
13178147 68 873F9797 PUSH 97973F87
1317814C 68 84C70047 PUSH 4700C784
13178151 68 9F318C04 PUSH 48C319F
13178156 54 PUSH ESP
на первый взглят можно подумать а зачем кидает в стек куча цифр
а это всего навсего набор инструкций
которые нужно раскриптовать
но как же это сделать??? а вот как!!
13178157 68 9C000000 PUSH 9C (помещает значение цикла в стек)
1317815C 59 POP ECX (достает и ставит куда нужно)
1317815D 83740C 03 07 XOR DWORD PTR SS:[ESP+ECX+3], 7 собственно раскриптовка
13178162 ^ E2 F9 LOOPD SHORT pinch.1317815D цикл а будет повторяться 9C раз
после мы падаем на ретн и самое верхнее письмо скажет нам куда прыгнуть а именно 0012FF24
а это и есть в стек и начинаем выполнять те комады которые мы
туда закинули (гениально придумано)
если тут я не прав поправте меня ибо не уверен на 100%
кому интересно вот эти команды мы закидываем в стек
0012FF25 FF12 CALL DWORD PTR DS:[EDX]
0012FF27 009F 318C0484 ADD BYTE PTR DS:[EDI+84048C31], BL
0012FF2D C700 47873F97 MOV DWORD PTR DS:[EAX], 973F8747
0012FF33 97 XCHG EAX, EDI
0012FF34 73 05 JNB SHORT 0012FF3B
0012FF36 EC IN AL, DX ; I/O command
0012FF37 F8 CLC
0012FF38 97 XCHG EAX, EDI
0012FF39 84C3 TEST BL, AL
0012FF3B 2F DAS
0012FF3C 97 XCHG EAX, EDI
0012FF3D 863B XCHG BYTE PTR DS:[EBX], BH
0012FF3F 235F 84 AND EBX, DWORD PTR DS:[EDI-7C]
0012FF42 ^ EB 87 JMP SHORT 0012FECB
0012FF44 97 XCHG EAX, EDI
0012FF45 97 XCHG EAX, EDI
0012FF46 73 0F JNB SHORT 0012FF57
0012FF48 84C3 TEST BL, AL
0012FF4A 87EF XCHG EDI, EBP
0012FF4C 2B07 SUB EAX, DWORD PTR DS:[EDI]
0012FF4E 07 POP ES ; Modification of segment register
0012FF4F 07 POP ES ; Modification of segment register
0012FF50 8E26 MOV FS, WORD PTR DS:[ESI] ; Modification of segment register
0012FF52 D100 ROL DWORD PTR DS:[EAX], 1
0012FF54 018E 161F7E4F ADD DWORD PTR DS:[ESI+4F7E1F16], ECX
0012FF5A F9 STC
0012FF5B 002B ADD BYTE PTR DS:[EBX], CH
0012FF5D 27 DAA
0012FF5E 26:EE OUT DX, AL ; I/O command
0012FF60 103E ADC BYTE PTR DS:[ESI], BH
0012FF62 4F DEC EDI
0012FF63 27 DAA
0012FF64 8710 XCHG DWORD PTR DS:[EAX], EDX
0012FF66 0B6B 0E OR EBP, DWORD PTR DS:[EBX+E]
0012FF69 4F DEC EDI
0012FF6A 27 DAA
0012FF6B F8 CLC
0012FF6C 9E SAHF
0012FF6D 4F DEC EDI
0012FF6E 0FF9D9 PSUBW MM3, MM1
0012FF71 D0C4 ROL AH, 1
0012FF73 EC IN AL, DX ; I/O command
0012FF74 008E 1627CE4F ADD BYTE PTR DS:[ESI+4FCE2716], CL
0012FF7A FFF8 ??? ; Unknown command
0012FF7C 5F POP EDI
0012FF7D 84EB TEST BL, CH
0012FF7F 8784C7 EBC60323 XCHG DWORD PTR DS:[EDI+EAX*8+2303C6EB>
0012FF86 0084EB FBF8E707 ADD BYTE PTR DS:[EBX+EBP*8+7E7F8FB],>
0012FF8D 77 10 JA SHORT 0012FF9F
0012FF8F 14 07 ADC AL, 7
0012FF91 17 POP SS ; Modification of segment register
0012FF92 07 POP ES ; Modification of segment register
0012FF93 07 POP ES ; Modification of segment register
0012FF94 07 POP ES ; Modification of segment register
0012FF95 97 XCHG EAX, EDI
0012FF96 131407 ADC EDX, DWORD PTR DS:[EDI+EAX]
0012FF99 1107 ADC DWORD PTR DS:[EDI], EAX
0012FF9B 07 POP ES ; Modification of segment register
0012FF9C 628C13 149C0707 BOUND ECX, QWORD PTR DS:[EBX+EDX+7079C>
0012FFA3 07 POP ES ; Modification of segment register
0012FFA4 53 PUSH EBX
0012FFA5 8113 14130607 ADC DWORD PTR DS:[EBX], 7061314
0012FFAB 07 POP ES ; Modification of segment register
0012FFAC 1286 13148C03 ADC AL, BYTE PTR DS:[ESI+38C1413]
0012FFB2 07 POP ES ; Modification of segment register
0012FFB3 07 POP ES ; Modification of segment register
0012FFB4 07 POP ES ; Modification of segment register
0012FFB5 17 POP SS ; Modification of segment register
0012FFB6 131407 ADC EDX, DWORD PTR DS:[EDI+EAX]
0012FFB9 6907 07F8F8F8 IMUL EAX, DWORD PTR DS:[EDI], F8F8F80>
0012FFBF F8 CLC
0012FFC0 17 POP SS ; Modification of segment register
0012FFC1 7F 13 JG SHORT 0012FFD6
0012FFC3 14 F5 ADC AL, 0F5
а вот что стало с нимипосле раскриптовки
0012FF25 FF12 CALL DWORD PTR DS:[EDX]
0012FF27 0098 368B0383 ADD BYTE PTR DS:[EAX+83038B36], BL
0012FF2D C007 40 ROL BYTE PTR DS:[EDI], 40 ; Shift constant out of range 1..31
0012FF30 8038 90 CMP BYTE PTR DS:[EAX], 90
0012FF33 90 NOP
0012FF34 74 02 JE SHORT 0012FF38
0012FF36 EB FF JMP SHORT 0012FF37
0012FF38 90 NOP
0012FF39 83C4 28 ADD ESP, 28
0012FF3C 90 NOP
0012FF3D 813C24 5883EC80 CMP DWORD PTR SS:[ESP], 80EC8358
0012FF44 90 NOP
0012FF45 90 NOP
0012FF46 74 08 JE SHORT 0012FF50
0012FF48 83C4 80 ADD ESP, -80
0012FF4B E8 2C000000 CALL 0012FF7C
0012FF50 8921 MOV DWORD PTR DS:[ECX], ESP
0012FF52 D6 SALC
0012FF53 07 POP ES ; Modification of segment register
0012FF54 06 PUSH ES
0012FF55 8911 MOV DWORD PTR DS:[ECX], EDX
0012FF57 1879 48 SBB BYTE PTR DS:[ECX+48], BH
0012FF5A FE07 INC BYTE PTR DS:[EDI]
0012FF5C 2C 20 SUB AL, 20
0012FF5E 21E9 AND ECX, EBP
0012FF60 17 POP SS ; Modification of segment register
0012FF61 3948 20 CMP DWORD PTR DS:[EAX+20], ECX
0012FF64 8017 0C ADC BYTE PTR DS:[EDI], 0C
0012FF67 6C INS BYTE PTR ES:[EDI], DX ; I/O command
0012FF68 0948 20 OR DWORD PTR DS:[EAX+20], ECX
0012FF6B FF99 4808FEDE CALL FAR FWORD PTR DS:[ECX+DEFE0848] ; Far call
0012FF71 D7 XLAT BYTE PTR DS:[EBX+AL]
0012FF72 C3 RETN
0012FF73 EB 07 JMP SHORT 0012FF7C
0012FF75 8911 MOV DWORD PTR DS:[ECX], EDX
0012FF77 20C9 AND CL, CL
0012FF79 48 DEC EAX
0012FF7A F8 CLC
0012FF7B FF58 83 CALL FAR FWORD PTR DS:[EAX-7D] ; Far call
0012FF7E EC IN AL, DX ; I/O command
0012FF7F 8083 C0ECC104 2>ADD BYTE PTR DS:[EBX+4C1ECC0], 24
0012FF86 07 POP ES ; Modification of segment register
0012FF87 83EC FC SUB ESP, -4
0012FF8A FFE0 JMP EAX
0012FF8C 0070 17 ADD BYTE PTR DS:[EAX+17], DH
0012FF8F 1300 ADC EAX, DWORD PTR DS:[EAX]
0012FF91 1000 ADC BYTE PTR DS:[EAX], AL
0012FF93 0000 ADD BYTE PTR DS:[EAX], AL
0012FF95 90 NOP
0012FF96 14 13 ADC AL, 13
0012FF98 0016 ADD BYTE PTR DS:[ESI], DL
0012FF9A 0000 ADD BYTE PTR DS:[EAX], AL
0012FF9C 65:8B1413 MOV EDX, DWORD PTR GS:[EBX+EDX]
0012FFA0 9B WAIT
0012FFA1 0000 ADD BYTE PTR DS:[EAX], AL
0012FFA3 005486 14 ADD BYTE PTR DS:[ESI+EAX*4+14], DL
0012FFA7 131401 ADC EDX, DWORD PTR DS:[ECX+EAX]
0012FFAA 0000 ADD BYTE PTR DS:[EAX], AL
0012FFAC 15 8114138B ADC EAX, 8B131481
0012FFB1 04 00 ADD AL, 0
0012FFB3 0000 ADD BYTE PTR DS:[EAX], AL
0012FFB5 101413 ADC BYTE PTR DS:[EBX+EDX], DL
0012FFB8 006E 00 ADD BYTE PTR DS:[ESI], CH
0012FFBB 00FF ADD BH, BH
0012FFBD FFFF ??? ; Unknown command
0012FFBF FF10 CALL DWORD PTR DS:[EAX]
0012FFC1 78 14 JS SHORT 0012FFD7
0012FFC3 13F5 ADC ESI, EBP
и вот появляеться новый цикл раскриптовки
0012FF3C 90 NOP
0012FF3D 813C24 5883EC80 CMP DWORD PTR SS:[ESP], 80EC8358
0012FF44 90 NOP
0012FF45 90 NOP
0012FF46 74 08 JE SHORT 0012FF50
0012FF48 83C4 80 ADD ESP, -80
0012FF4B E8 2C000000 CALL 0012FF7C
0012FF50 83C4 10 ADD ESP, 10
0012FF7C 58 POP EAX
0012FF7D 83EC 80 SUB ESP, -80
0012FF80 83C0 EC ADD EAX, -14
0012FF83 C10424 07 ROL DWORD PTR SS:[ESP], 7
0012FF87 83EC FC SUB ESP, -4
0012FF8A FFE0 JMP EAX
каждый из этих циклов можно разбирать я этого делать не буду дабы этот материал не для новечков
пока можно поразмышлять над этим
п.с
особая благодарность salamandra |
|
|
|
27.02.2008, 18:43
|
|
Участник форума
Регистрация: 02.01.2008
Сообщений: 116
Провел на форуме:
1013405
Репутация:
58
|
|
чувачки поделитесь криптором шоб нод непалил  |
|
|
|
27.02.2008, 21:35
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 577
Провел на форуме:
1636674
Репутация:
171
|
|
FreeCryptor gloff'a вроде не палиться
|
|
|
|
28.02.2008, 01:37
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 577
Провел на форуме:
1636674
Репутация:
171
|
|
пинч обыкновенный. Слэша
Код:
File: pinch.exe
SHA-1 Digest: fcea9e7ae4a2c0d74a90e4df285ddc26426ab0a3
Size: 41984 bytes
Detected Packer: None
Status: Infected or Malware (Confidence 77.27%)
Date Scanned: Wed Feb 27 21:29:57 +0000 2008
пинч + RLPack + FreeCryptor
Код:
File: pinch_crypted.exe
SHA-1 Digest: 8821af5ecd741a1d28f6f6d1742af31fe43a61b1
Size: 17580 bytes
Detected Packer: None
Status: Infected or Malware (Confidence 13.64%)
Date Scanned: Wed Feb 27 21:33:36 +0000 2008
(палиться Avira AntiVir, CPSecure, Sophos Sweep)
RLPack берем тут http://www.reversinglabs.com/download.html
FreeCryptor http://www.soft.glofff.com/
результаты крипта НЕ тестим на вирустотале и прочих |
|
|
|
28.02.2008, 19:38
|
|
Новичок
Регистрация: 09.11.2007
Сообщений: 13
Провел на форуме:
57405
Репутация:
1
|
|
а пинч от васьки на smtp данным способом не криптуется чтоб непалился? прост ща нет времени проверять
|
|
|
|
29.02.2008, 12:29
|
|
Новичок
Регистрация: 26.06.2007
Сообщений: 4
Провел на форуме:
24963
Репутация:
1
|
|
почему-то при паковке самого пинча(слеша), пакер пишет что он уже сжат...
|
|
|
|
29.02.2008, 12:56
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 577
Провел на форуме:
1636674
Репутация:
171
|
|
Сообщение от nenormalnii
почему-то при паковке самого пинча(слеша), пакер пишет что он уже сжат...
в смысле? билдер у них сжат UPX'ом
сам пинч жметься нормально с дефолтными настройками крипторов
хотя можеш на всякий случай PEID'ом глянуть...
|
|
|
|
29.02.2008, 14:16
|
|
Новичок
Регистрация: 01.11.2007
Сообщений: 5
Провел на форуме:
110910
Репутация:
0
|
|
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found PSW.Ldpinch.11.AS
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found LdPinch.gen1
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found Mal/Basine-C
VirusBuster Found nothing
VBA32 Found nothing
такой результат у моего троя, но клеить начинаю с фоткой - палится начинает по-черному 
народ кто чем клеит?
зы ясное дело что приват джойнеры есть - не мой вариант |
|
|
|
29.02.2008, 14:19
|
|
Участник форума
Регистрация: 01.08.2007
Сообщений: 178
Провел на форуме:
486104
Репутация:
239
|
|
Зайди в тему про джоинеры и скачай последних парочку... Там есть чистые
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
