1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Чистим "Цепочкой".

Тема в разделе "Чистка Stub", создана пользователем webster, 18 май 2012.

  1. TopicStarter Overlay
    webster

    webster Гость

    Вот и первая тема в этом разделе, пожалуй начну я. Постоянно работая со стабами я начал замечать разные закономерности в их чистке. Вот я пишу об одном из них, способ не есть панацеей, но в разных случаях по разному влияет на детект ( было даже 15 сразу отсекал, было 2 - 3 ), основные ав такие как kasper, dr.Web, NOD32 вряд ли он обломит, но все же...
    Чтоб начать нам нужно иметь некий арсенал программ:
    1. Please login or register to view links ( Дальше олька ).
    2. Please login or register to view links
    3. Please login or register to view links
    4. Please login or register to view links

    Если все загрузили, переходим дальше, к самому основному.

    "Цепочка" ( Это я сам придумал :D ) - это способ чистки изменяя EP ( Entry Point (точку входа) ), с некой модификацией, то есть мы изменим точку входа, и "понаставляем" джампов, которые запутают кривые ав :D ( Если Вы ничего не поняли, то читайте дальше, подробней остановимся) ).
    Надеюсь Вы уже вытянули стаб с oxi joiner'a, тогда приступим к самой работе.( По просьбе, пишу как извлекать стаб ):

    1. Качаем Restorator, хз где, хз как. Гугль в помощь. :D
    2. Запускаем Restorator и перетягиваем туда нашу прогу.
    3. Вытягиваем стаб так:
    [​IMG]

    Сначала мы будем работать с олькой, запускаем в ней наш стаб.

    [​IMG]

    Видим 4 разных окна, сегодня мы будем работать только с первым. Именно с отладочными командами, а не с регистрами и т.п. .

    Нажимаем Ctrl + g и видим что появилось окошко "Enter exp..." , вводим туда 401000 и жмем ок.

    [​IMG]

    Когда мы перешли, первым делом нам следует узнать точку входа, её увидеть можно на скрине, первым идет адрес ( 00401AD8 ), а потом пропись
    "STUB(зависит от названия вашего файла).<ModuleEntryPoint>".



    Так как записывать мы будем в конец файла, переходим туда.

    [​IMG]

    Начинаем запись с джампа на точку входа, то есть на 00401AD8. Следующие 3 команды могут быть произвольными, мне нравится ставить всякие ненужные джампы. В итоге у нас получится так:

    [​IMG]

    Если вы не ошиблись и джамп на точку входа правильный, вам вместо адреса напишет <ModuleEntryPoint>.

    После того как мы сделали 3 мусорных джампа, нам стоит прыгнуть на тот джамп, который в свою очередь прыгнет на точку входа ( у нас это 401С20 ).
    Делаем еще три джампа и прыгаем на 401С24 тем самим создавая цепочку.

    [​IMG]

    Повторяем еще пару раз и закрываем цепочку.

    [​IMG]

    Мы сделали джамп на нолики, на всякий случай чтоб этот код не выполнила программа ( когда нам не надо ). Ну по идее этого не должно произойти так как 401С1С это у нас пустой, но все таки))
    Сохраняемся и выходим, но перед этим запоминаем последний адрес нашего "цепочного" джампа ( 00401С67 ).

    [​IMG]

    Теперь нам предстоит работать с PETools. Запускаем её.

    [​IMG]

    Нажимаем на "Tools", потом на Pe Editor и выбираем наш файл.

    [​IMG]

    Теперь самое главное, меняем точку входа.
    1. Нажимаем на "Optional Header".
    2. Вписываем нашу новую точку входа ( Для того чтоб узнать новую точку, нужно вспомнить наш джамп, который я говорил запомнить (00401С67). Теперь следует от 401С67 - 400000 = 1С67, получаем новую точку. ( Число 400000 постоянное ).
    3. Жмем ок.
    4. Жмем ок)

    Вот и все, файл почищен, давайте его прочекаем:
    До:
    Please login or register to view links
    После:
    Please login or register to view links

    10 явно крутых кривых ав курят.

    С Вами был Webster, статья написана лично мной и лично для каждого с Вас.

    Если что не ясно, пишем в теме, критикуем. Выслушаю все. :D


    Если кто то вздумает копировать, оставьте копирайты, ибо найду и оторву яйца.
     
    • Like Like x 15
    Метки:
  2. ROOT

    ROOT

    Регистрация:
    9 май 2012
    Сообщения:
    707
    Симпатии:
    379
    Не каждый повторит :)))
     
  3. TopicStarter Overlay
    Avenger

    Avenger Гость

    Не смешно.Все придельно просто и внятно.
     
  4. TopicStarter Overlay
    webster

    webster Гость

    Разжевал по максимуму, кто не понимает, тому не судьба чистить крипторы.
     
    • Like Like x 2
  5. Chromizer

    Chromizer

    Регистрация:
    10 май 2012
    Сообщения:
    148
    Симпатии:
    68
    Не очень то и трудно, но грамм 150-200 накачу лучше
     
  6. TopicStarter Overlay
    webster

    webster Гость

    Мб еще чет сегодня напишу. Если будет время. Кстати не советую юзать SignDetect, ав пропалили как он байты изменяет ( запись в конец ) и автоматом детектить начинают.
     
    • Like Like x 2
  7. TopicStarter Overlay
    emotion

    emotion Гость

    Очень уж похожую тему, я у вазонеза читал, ну очень уж похожую =)
     
  8. TopicStarter Overlay
    webster

    webster Гость

    Он меняет хором... А это совершенно другой способ.
     
  9. Svik

    Svik

    Регистрация:
    31 май 2012
    Сообщения:
    293
    Симпатии:
    85
    c http://crypt-fud.ru статья давно там висит
     
  10. TopicStarter Overlay
    Mazayyy

    Mazayyy Гость

    А смысл в этом, если от нода и каспера не прячет?
     
  11. Svik

    Svik

    Регистрация:
    31 май 2012
    Сообщения:
    293
    Симпатии:
    85
    dr web
    avast
    возможно отцепит
     
  12. TopicStarter Overlay
    webster

    webster Гость

    Что за бред? Глянь на дату публикации... Статью писал я.
     
  13. TopicStarter Overlay
    DARKLORD

    DARKLORD Гость

    ну SDом ты выявляешь диапазон сигнатур,что палятся и потом используешь выше изложенные проги,а не чистишь.хотя,у меня были случаи,что я тупо пропускал стаб через SN при 1BTW,без каких либо действий еще и таким образом,отсек 1 раз 11 АВ из 16.
     
  14. TopicStarter Overlay
    DARKLORD

    DARKLORD Гость

    Если кто то вздумает копировать, оставьте копирайты, ибо найду и оторву яйца.
    =============================================================================
    а если это будет баба...что оторвешь тогда? B)
     
  15. TopicStarter Overlay
    Avenger

    Avenger Гость

    Сиськи
     
  16. TopicStarter Overlay
    trozik355

    trozik355 Гость

    NOD32 как палил, так и палит.
     
  17. TopicStarter Overlay
    Ant1NooB

    Ant1NooB Гость

    кто сказал что таким образом нельзя спрятать от каспера? да и каспер не панацея и ставять его не все
     
  18. TopicStarter Overlay
    webster

    webster Гость

    Я вверху писал что можно почистить от парочки. Сейчас еще знаю пару методов, но в пабл кидать их еще рано)
     
  19. TopicStarter Overlay
    churkabes

    churkabes Гость

    мое предложение к ТС сделай гайд-видео по очистке стаб в хорошем разрешение чтобы чайники без 150-200 грамм делали
     
  20. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Как этот стаб потом использовать?
    :rolleyes:


    Как обратно в джонер то вшить?
     

Поделиться этой страницей

Загрузка...