[faq] the crypter bible

Тема в разделе "Взлом / хакинг / DDoS", создана пользователем zooks, 9 июн 2017.

  1. zooks

    zooks Очень активный ползователь Проверенный продавец VIP

    Сообщения:
    46
    Симпатии:
    0
    Всё, что вам нужно знать. Мы разьяснаем здесь: функции, параметры настроек, базовые знания, обнаружения, как не портить свой стаб и в итоге как не наскучивать владелца криптера!.

    Tермины & Определение

    • RunPe
      • Runpe - это часть кода которая инжектирует функциональную часть вируса в память выбранного процесса.
    • Injection
      • Процесс по размещения PayLoad в память выбранного процесса называется Инекция т.е Injection
      • Наиболее часто инъецированные процессы:
        • svchost.exe
        • Regasm.exe
        • explorer.exe
        • Браузер по умолчанию ( chrome.exe, opera.exe, firefox.exe, iexplorer.exe )
        • itselt - т.е сам ( Имея в виду PayLoad инекцируется в запушений процесс )
        • vbc.exe
        • cvtres.exe
    • PayLoad
      • обьясная новичкам это означает, файл который вы выбрали для шифрования (т.е вирус)
    • Ecryption
      • Алгоритм который "Защищает" переобразовает байты выбранного файла, делая их неузнаваемыми и польностью отличающими от оригиналних байтов файла.
    • Stub
      • Программа создаётся для того чтоб хранить зашифрований файл (encrypted file) и при запуске иньжектировать его в память
      • Это где
    • Private Stub
      • Тоже самое, что и выше кроме того что вы дольжни быть единственным человеком, использувший этот Stub
      • Kод в основном сильно отличается от "Публичних Стабов" что делает его труднее обнаруживаемой при сканирование
      • Долше продежривается "FUD" - Fully undetectet

    Как всё это работает?

    • Иллюстрация 1.1 демонстрирует что криптер делает с вашим сервером
    Иллюстрация 1.1:

    • [​IMG]

    СканТайм vs РанТайм?


    • Определение Скантайма
      • Файл при сканирование обнаруживаемый - означает: Если до того как его запустили Антивирус обнаруживает его или когда сканирование запущено файл был обнаружен и отмечена как Угроза
      • Обнаружения при сканирование (Scantime Detect) вызваны видымими инструкциями файла или "PE info" - как сборка/иконка, Клонирований сертификат, тип ресурсов и размер файла.
      • В основном это означает что RAT/Server которую вы криптуете практический не отличается потому что файл был зашифрован Хреного плохо или для Антивирусов узнаваемым способом.
      • Безопасные место где вы можете проверять Стаб на ScanTime Detection это:

    • Oпределение Рантайма
      • Файл при запуске обнаруживаемый - означает: Если файл был запушень и вашь Антивирус обнаружил его и отметил его как угрозу и Заблокировал, Остановил, Удалил его.
      • Обнаружения при запуске (Runtime Detect) вызвано из за поведения. В основом как вашь файл действует и выполняется может и вызвать обнаружение при запуске.
      • Rat/Server который вы закриптовали вляют на обнаружение при запуске
      • Если вы хотите избежать обнаружение при запуске (Runtime Detect) вы дольжни воздерживаться от перегружених настроек. RootKit (руткит) вероятнее всего будут обнаружени. Лучше всего использовать как можно меньше настроек/функций при создание вашего сервера и более из криптора. Почему? да потому что легко обнаружить поведение широко известного RAT-а, когда он некогда не был обнавлён и изменён. Криптеры обновляются и модифицируются так что более надежнее использовать их настройки чтоб избежать Runtime Detect-а.
      • Способ педотвратить некоторые Runtime Detect-и это Анти сканирование памяти (Anti Memory Scan). Которая в основном будет отказать в доступе к пространству памяти где вашь сервер будет работать.
      • Безопасные место для сканирование Runtime Detection было Refud.Me но их Закрыли!

    • Обнаружение
      • Scantime
        • Вызванное пользователем:
          • Базовые/общие обнаружение - частоя причина: Размер, Иконка и информация файла выбранные пользователем.
          • Пример общих обнаружении:
            • Kazy (это может быть и вина "кодеров" в некоторых случаях)
            • Bary
            • Zusy
            • Gen:* - этот детект можно легко убрать:
              • Изменой иконки - (иконкой низкого разрешения / размера)
              • Изменой ифнормации о файле - ( найти инфо довереных програм)
              • Немного добавить размер - Pump File
              • Если всё это не сработает - Попробуйте удалить инфорамцию о файле (Используя ResHacker)
    • Вызванное Криптером/програмистом(кодером):
    • Евристические обнаружения и некоторые общие обнаружение
    • Структура PE
    • Примеры обнаружения:
      • Injector.* ( т.е обшего обнаружение NOD32 Detection )
      • Heur.*
      • MSIL.*

    • Runtime
      • Вызванное пользователем:
        • Выбирание всех возможних настроек в RAT.
        • Выбор общих процессов для инжекта
        • Здесь некоторые инструкции как исправить всё это:
          • Избегайте инжекта в процессы как svchost.exe т.е известные
          • Добавьте Задержку (30сек+) этим можно обоходить Рантайм некоторых Антивирусов
          • Добавьте хорошую информацию и иконку

    • Вызванное Криптером/програмистом(кодером):
      • Черезмерное использование Runpe без модификации
      • Copy&Paste кода
      • Долгое время не проверял Runtime Detection


    Как не "разврашать" вашь Server?


    • Чего Следует избегать:
      • Двойное криптование - С какой стати вы это делаете???
      • Кликание на каждую отдельную функцию в RAT и в Crypter-е тоже
    • Важние Вещи, что нужно держать в уме:
      • вашь файл Native или .NET/Мanaged?
    • Native RATS програмированны без зависимостей (т.е C, C++, VB6, Delphi)
      • DarkComet
      • CyberGate
      • Prototype
      • NetWire
      • Babylon
    • Managed RATS програмированны с зависимостю (т.е VB.NET, C#, Java)
      • NanoCore
      • LuminosityLink
      • Immenent Monitor 3
      • njRAT
      • PiRat
      • Quesar RAT
    • Явлается ли вашь файл .NET?
      • Рекомендирована использовать для инекции "itself" использование других настроек может испортить вашь файл.

    • Явлается ли вашь Файл Native?
      • Рекомендирована не использовать для инекции "itself". Выберите что-то другое.


    Почему Мой Файл уже не FUD?


    • Очень важние факторы в том как быстро она детектится:
      • Распостронение вируса
      • Где файл был загружень
      • Насколько велике и популярна и сколько клиентов у вашей Криптосервисе
      • Какой малварь был закриптовань
      • Антивирусы обновлаются минимум раз в день!
      • Это и есть работа криптора, они могут стать обнаружеваемы. Но Refud чистить его возможно, это делается менее чем за час!


    Как не испортить вашему криптору FUD Time?


    • Чего следует избежать:
      • Сканирование на сайты: которые сливают ваши файли антивирусним компаням
        • Запрещённые сайты для сканирование(здесь не все):
          • VirusTotal
          • Anubis
          • Jotti
      • Загрузка ваших файлов на сайты Uploading Host Files
        • Запрещённые сайты для загрузок ваших файлов(здесь не все):
          • DropBox
          • MediaFire
          • GoogleDrive
      • Не отправляйте ваши файли через Скайп! (Иллюстрация 1.2)
    Иллюстрация 1.2:
    [​IMG]


    • Дела которые необхадимо делать:
      • Каждый антивирус будет делится семплами с ваших ПК убедитесь, что вы отключили любую такую услугу на ваших AVs.

    Как не наскучивать владелца криптера?


    • Чего следует избегать:
      • Спамерство
      • Постить резултаты детекта на оф.сайте в коментарях ОСОБЕННО тогда когда эти детекты ваша вина.
    • Дела которые необхадимо делать:
      • Если вы отправалете саппорту сообщение, что вашь файл не работает укажите все настройки которые вы использовали.
      • будь терпеливым
      • Соблюдай правила
      • Не будь идиотом
      • Читайте все иснтрукции/видео уроки для настройки криптера а после этого общайтес с саппортом для решение ваших проблемь

    Crypter Характеристики и описание:


    • Startup инсталация:
      • Модуль стаба который добовлает вашь криптований файл в список програм запускамих Windows (startup/msconfig)
      • Многие различные типы: Использование регистра(regedit), Задачи, Копирование файла в Startup фолдет, другие...
    • Startup Persistence:
      • Модуль который проверает удалён ли вашь файл из списка Startup
    • Anti Memory Scan:
      • Модуль который запрешает доступ к всему что попытается прочитать инжектирований пейлоад (инжектирований вирус загружений в какой лыбо процесс)
      • Чрезвычайно полезно для обхода RunTime Detect
    • Elevate Process/Privileges:
      • Попытки получить права администратора для вашего файла.
    • Critical Process:
      • Изменяет некоторые атрибуты работы вашего файла, который будет вызывать BSOD (Синий экран смерти).
    • Mutex:
      • Очень полезная функция, чтобы убедиться, что ваш файл не работает более чем один раз в то же время.
    • Melt File:
      • Удаляет / Удаляет файл после того, как он успешно запустился.
    • File Pumper:
      • Добавьляет определенное количество байтов (со значением 0) в конце файла, увеличивая его размер, но не нарушает каких-либо процедур во время выполнения.
    • Compress:
      • Уменьшает выходной размер.
    • Icon or Assembly Cloner:
      • Копирование данных Ассамблеи или значок выбранного файла. (чтобы обойти некоторые общие обнаружения)
    • Encryption Algorithm:
      • Функция используется для преобразования байтов RAT/ Server в нечто совершенно другое.
    • Delay Execution:
      • Используется для "Stop" - приостановить свой файл, во время работы. В течение определенного периода времени.
      • Добавление 30+ секунд будет в некоторых случаях обходить RunTime Detection, верить этому или нет вам решать!.
    • Binder:
      • Добовлять другой файл в стаб, после запуски стаба вашь RAT/Server запустится но с етим и файл который вы забиндовали.
    • Downloader:
      • Ну это очевидно, загружает и запускает файл с заданного URL-адреса.
    • USG – Unique Stub Generator:
      • Будьте уверени что чекая эту функцию вы используйте разные стаби и они будут отличатся от предедушего крипта.
      • В реале это функция прост изменает имена переменных и какие-то методы.
    • Fake Message Box:
      • Фейковое сообщение при запуске
    • Hide File:
      • файл будет Hidden поэтому жертва не может увидеть вирус в папке.
    • Antis:
      • Остановите свой файл от запуска, если некоторые программы работают в фоновом режиме:
      • Популярние Anti:
        • Anti Virtual Machine (VMWare, VirtualBox and VirtualPC)
        • Anti Sandboxie
        • Anti Wireshark
        • Anti Fiddler
        • Anti Debugger
        • Anti Anubis
    • Botkill:
      • Ишет любые существующих файлов или процессов, которые могут быть вредоносные программы и убивает / удалияет их из системы.
    • Spreaders:
      • Скопировoвает файл в тех местах, где он может заразить других пользователей.
      • Спреадерс не работают так что не ебите себе мозгы
      • Common spreaders:
        • USB
        • Rar/Zip
        • Chat/IM (Skype, Facebook, Omegle, Twitter) -Spamming
    • Junk Code:
      • Добовлает безспалезний мусорний код для баипасса Scantime Detection
    • Remove Version Info:
      • Удалает инфу о файле
    • Require Admin:
      • Запрашивает окно UAC с просьбой, чтобы запустить файл как Admin.
    • Certifcate Clone/Forger:
      • Добовлает сертификат к файлу

Поделиться этой страницей