 Autor
|
Tema: [+] SMALL CRYPTER by E0N (Leído 7200 veces)
|
E0N
Lab &
Colaborador
 Desconectado
Mensajes: 2.606
|
SMALL CRYPTER ¿Qué es Small Crypter?Small Crypter es un crypter (obio  ) tanto scan-time como run-time que utiliza inyección. Su stub está escrito en asm y un poco retocado a mano, por lo que solamente ocupa 1.3 KB. ¿Qué quiere decir esto? Pues quiere decir que si encriptamos un ejecutable con Small Crypter el tamaño total del mismo solo aunmentará en 1.3KB, es decir, prácticamente nada  Por poner un ejemplo, al encriptar el server del Poison Ivy con Small Crypter el server final solo ocupará 6.6KB Características:No dispongo de mucho tiempo últimamente, así que hay ciertos aspectos a mejorar, como el algoritmo de encryptación, que es un simple xor xD lo que hace que algunos av's puedan llegar a detectar vuestro server, aunke pasará inadvertido a la gran mayoria. Por poner un ejemplo, este es el resultado de scanear el servidor del Poison Ivy con ScanLix tras haber sido encriptado con Small Crypter: McAfee  Kaspersky Shopos  F-Prot AntiVir Norton BitDefender ClamWin SOLO Nod32 ZoneAlarm Como veis lo siguen detectando 2 av's, pero no está mal no? El ejecutable final por otra parte no tendrá icono. Bueno, tengo que mejorarle algunos aspecto para una posible siguiente versión Abajo podeis descargarlo. Para hacerlo funcionar extraeis el .rar en la misma ruta y ya está Salu2 E0N |
|
|
|
|
En línea
|
|
|
|
|
|
JRD
Desconectado
Mensajes: 92
|
EON cada día me sorprendes mas  graxias por este crypter loke mas me a sol prendido es el stub que poco peso. bueno aora me voy a poner a aserlo indetectable a Shopos y BitDefender ¿crees que lo lograre con rit, meepa o xor? lo voy a intentar y te cuento Bueno mi kaspersky lo detecta como troyano generico  S@1u2s |
|
|
|
« Última modificación: 19 Abril 2008, 16:29 por JRD »
|
En línea
|
RadioWeb - 100% (Mas de 100 Emisoras) Controlador Remoto & Troyano - 100% No-Ip (Por JRD) - 100% 
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.606
|
El problema no es q detecten el stub, el problema es q por falta de tiempo la encriptacion q le e puesto es un xor (vamos una encriptacion muy floja) y detectan q el stub lleba pegado el poison. A ver si saco un rato y diseño un algoritmo un pokillo mejor para encriptar bytes. Así q mejor no intentes un rit ni nada de eso por q va a ser inutil.. Por q si encriptas un ejecutable cualkiera no malicioso veras q los av's no saltan Salu2 E0N |
|
|
|
|
En línea
|
|
|
|
JRD
Desconectado
Mensajes: 92
|
Claro ya decia yo este cryter escrito en Visual Basic es como el metodo xor pero automatisado. aver si tienes tienpo y le mete mas xor salteados leos_79 creo un codigo fuente casia eso mismo Salu2s EON |
|
|
|
« Última modificación: 19 Abril 2008, 16:38 por JRD »
|
En línea
|
RadioWeb - 100% (Mas de 100 Emisoras) Controlador Remoto & Troyano - 100% No-Ip (Por JRD) - 100%
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.606
|
claro ya decia yo este cryter es como el metodo xor pero automatisado. aver si tienes tienpo y le mete mas xor salteados Salu2s EON Jaja no, no tiene nada q ver una cosa con la otra, este crypter utiliza inyección. Solo q como encriptación hace un xor byte a byte, pero una cosa no tiene q ver con la otra |
|
|
|
|
En línea
|
|
|
|
elmeister
Desconectado
Mensajes: 60
|
Muchas gracias tio, Eres el tercer DIOS (pero solo por debajo de Chuck Norrisy El monstruo Volador del Espagueti)
EDIT: No está de más decir que no se deben subir los archivos encriptados con esto a virustotal y que no vendría mal que se hiciera un manual para poder modificar el Stub si lo acaban detectando
|
|
|
|
« Última modificación: 19 Abril 2008, 16:50 por elmeister »
|
En línea
|
|
|
|
JRD
Desconectado
Mensajes: 92
|
Una pregunta aviso no tengo nidea de inyección ¿la inyección como la ases? Podria ser de esta manera como los joiner & Binders Private Sub cmdMake_Click()
Dim Buffer As String, X As Long, Path As String: Path = App.Path
On Error Resume Next: Kill (Path & "\output.exe"): DoEvents
If lstFiles.ListCount = 0 Then Exit Sub
Open Path & "\header.dat" For Binary As #1
fPoint = LOF(1): Buffer = Space$(fPoint)
Get #1, , Buffer
Close #1: fPoint = fPoint + 1
Open Path & "\output.exe" For Binary As #1
Put #1, , Buffer
For X = 0 To lstFiles.ListCount - 1
Put #1, fPoint, strFile(X)
End Sub
Private Function strFile(Index As Long) As String
Dim hexSize As String, lof2 As Long
Open fPaths(Index) For Binary As #2
lof2 = LOF(2): hexSize = Hex(lof2)
Do Until Len(hexSize) = 6
hexSize = "0" & hexSize
Loop
strFile = Space$(lof2)
fPoint = fPoint + lof2 + 6
Get #2, , strFile: Close #2
strFile = hexSize & strFile
End Function Salu2s y graxias por responderme eske estoy mu interesado en el tema de los crypters es mas me quiero hacer uno aver si soy capas  |
|
|
|
« Última modificación: 19 Abril 2008, 16:56 por JRD »
|
En línea
|
RadioWeb - 100% (Mas de 100 Emisoras) Controlador Remoto & Troyano - 100% No-Ip (Por JRD) - 100%
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.606
|
Una pregunta aviso no tengo nidea de inyección ¿la inyección como la ases? Podria ser de esta manera como los joiner & Binders No. En la primera parte del proceso es algo parecido, primero se extrae del stub el archivo encriptado y se desencripta en memoria (en una variable para q nos entendamos) luego se lanza un proceso cualkiera suspendido, en mi caso el propio proceso del archivo encriptado, y en el se reemplaza escribiendo en su memoria las cabeceras del PE, las secciones y de mas. Miate el tuto de Ferchu q está muy bien explicado y la documentacion oficial de MS sobre el PE para ver como va montado todo en memoria y lo entenderás mejor Salu2 |
|
|
|
|
En línea
|
|
|
|
SuPeRZaCKeRMaN
Desconectado
Mensajes: 12
|
ey tio, muy weno el small crypter. Rectifico lo de antes: el nod32 no lo detecta. impresionante trabajo E0N, eres una maquina tio |
|
|
|
« Última modificación: 19 Abril 2008, 21:07 por SuPeRZaCKeRMaN »
|
En línea
|
|
|
|
K-19
Desconectado
Mensajes: 461
Sarah Wayne
|
Estás hecho un genio E0N, gracias. |
|
|
|
|
En línea
|
|
|
|
|
ProHideSoftware
|
|
|
|
|
|
En línea
|
Vendo ProHide Keylogger anti-heuristica kaspersky + downloader + joiner todo 100% indetectable |
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.606
|
ProHideSoftware q es el Kav? es normal, como ya e dicho el crypter usa inyección, y si te fijas te dice q el programa está intentando inyectarse.
El kav es muy puñetero, por q detecta el WriteProcessMemory y no hay forma de eludirlo xD
Salu2
|
|
|
|
|
En línea
|
|
|
|
|
Hendriҳ
|
por q detecta el WriteProcessMemory
Estas seguro??? crei que era createremotethread o almenos en la version 6.0 |
|
|
|
|
En línea
|
Muchas veces las cosas no se le dan al que las merece más, sino al que sabe pedirlas con insistencia. - Arthur Schopenhauer |
|
|
|
ProHideSoftware
|
|
|
|
|
|
En línea
|
Vendo ProHide Keylogger anti-heuristica kaspersky + downloader + joiner todo 100% indetectable
|
|
|
|
 |
