Чистка джойнера на примере FreeJoiner by Gloff - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Бесплатные прокси уже в Telegram
Все инфопродукты и приватная информация бесплатно
Старый 26.10.2009, 16:28   #1 (permalink)
VIP
 
Аватар для s1r1us
 
Регистрация: 07.07.2009
Сообщений: 262
Member ID: 1103
ICQ 555-556-500

Репутация: 488
Репутация: 488
Сказал(а) спасибо: 251
Поблагодарили 472 раз(а) в 230 сообщениях
Топикстартер (автор темы) По умолчанию Чистка джойнера на примере FreeJoiner

Чистка крипторов на примере FreeCryptor

Все наверно знаю новое творение GLOF'a под названием
Free Cryptor. Это довольно неплохой криптор exe файлов.
Самое главное что он бесплатный и постоянно обновляется.
GLOF наверно устаёт постоянно чистить его и вот я решил
ему так сказать помочь да и сам разобраца.

Для этого нам понадобится сам криптор (который можно слить
сдесь) ну и какойнибуть маленький ехе (чем меньше - тем
лучше) я использовал обычный Hello World. Ну и собственно
сам инструмент WinHex (который можно слить сдесь)

Ну вот открываем мы наш Hello World в хексе и смотрим сам
код, благо он весит мало и саму структуру запомнить
довольно просто:



Теперь криптуем Free Cryptor'ом и опять же открываем
в WinHex'e и вот начинаем сравнивать криптованый файл
от не криптованого:



как видим до "a.idata" вроде всё одинаковое, а вот после
видим ".AFCryptor" - это имя секции криптора, её можно
переименовать на свой вкус ибо особой роли не играет.
Далее мы видим непонятный текст - это наш зашифрованный
Hello World после до "ssageBoxW" почти всё так же, а вот
посли видим некий "стаб" криптора который так сказать
идёт до окнца ехе файла:



почти в самом конце видим "FCryptor"....c:\1.exe" ну это
собственно то же имя что и было приписано в имени секции
криптора и путь до криптованого файла, их можно затереть
нафиг, ибо опять же роли не играет =))

а вот теперь давай начнём разбираца со стабом, ибо именно
по нему обычно аверы детектят криптор.
Как же узнать по какой именно сигнатуре ав детектит? Ну
мне на ум нечего не пришло кроме как поочерёдно затирать
по 1 символу и проверять перестал палица или нет.
Ну вот затираем "3", проверяем - палица, затираем "Т",
проверяем - палица, и так далее..... и доходим мы до
последовательности "<.hPT":



видим что после затирания знака "." (а именно его HEX
значения 02) палица перестаёт! Так вот значит это и
есть та сигнатура (или часть её) по которой АВ детектит.
Теперь проверяем на что можно заменить, попробуем
заменить на символ "0" (ноль, его HEX значение "30")



проверяем - не палится, проверяем - работает . Такс а
что же делать если и "0" добавят в базу сигнатур? Тогда
можно заменить на чтото другое, например на HEX
значение "00" и т.д.

Ну вот теперь мы знаем по какой сигнатуре детектит и на
что заменять по этому криптуем уже свой вредоносный код
(будь то пинч или ещё что-то) открываем его в WinHex'e
ищем последовательность байт "8B 02 90 50 54"

находим и зменяем в нём HEX значение "02" на "30" к примеру
и сохраняем теперь наш код не палится .....

У вас наверно возник вопрос а как это дело 1 раз сделать
и больше не повторять?? Я расскажу вам для этого
можно исправить сам криптор. Так как криптор запакован
WinUpack'ом его можно распаковать к примеру статик
анпакером который лежит сдесь

Распаковали, теперь в нём то же ищем последовательность
байт 02 90 50 и заменяем 02 на 00 или 30 или что вам в
голову взбретёт =) теперь сохраняем криптор и юзаем его
теперь он очищен :Р

з.ы. теперь примерно таким способом можно чистить и
другие сигнатурные крипторы ) это только пример,
дальше развивайте идею сами (c)Stalin

__________________________________________________ _______________

Видео по чистке на основе этой статьи(c)EstChe

Скачать

Последний раз редактировалось s1r1us; 26.10.2009 в 19:23.
s1r1us вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 26.10.2009, 17:47   #2 (permalink)
VPN
 
Аватар для 2FED
 
Регистрация: 11.05.2009
Адрес: Сибирь
Сообщений: 458
Member ID: 4
ICQ 310234

Репутация: 855
Репутация: 855
Сказал(а) спасибо: 599
Поблагодарили 516 раз(а) в 199 сообщениях
По умолчанию Re: Чистка джойнера на примере FreeJoiner by Gloff

Но лучше бы просто статью+видео сделал чем ссылкой
2FED вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Чистка логов frag Работа с дедиками 33 13.11.2010 20:24




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.