1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Чистка криптора Full Fud

Тема в разделе "Чистка Stub", создана пользователем Serge, 4 сен 2013.

  1. TopicStarter Overlay
    Serge

    Serge

    Регистрация:
    11 дек 2012
    Сообщения:
    109
    Симпатии:
    38
    Копипаст, автор Svik.

    п.с Так как не видел этого метода тут, то решил выложить, так что не судите строго.


    Cейчас мы попробуем почистить криптор методом Dsplit и AvFucker
    Думаю все ждут с нетерпением
    1.
    2..
    3...
    ГО
    Идём на онлайн сканер нормальный не такой как ВТ и сканируем наш стаб у меня вот
    [​IMG]
    Название файла: stub.exe
    Размер файла: 360448 байт
    Дата сканирования: Thu, 22 Aug 13 15:12:25 -0400
    MD5-хэш файла: 3000422bfce6ff638c1d94d27a52452c

    Результат: 26 из 36

    Ad-Aware: Trojan.Win32.Generic!BT
    AhnLab V3 Internet Security: OK
    ArcaVir: OK
    Avast: Win32:Malware-gen
    AVG: trj.Generic34.AEBB
    Avira: TR/Llac.dlbg.2 Trojan!
    Bitdefender/BullGuard: Gen:Variant.Zusy.57312
    BullGuard Internet Security 2013: Gen:Variant.Zusy.57312
    ClamAV (UNIX version): OK
    Comodo: Malware@#yqkhtqggo60e
    Dr.Web: OK
    Emsisoft Anti-Malware (a-squared Anti-Malware): Gen:Variant.Zusy.57312 (B)
    eScan Internet Security Suite 14: Gen:Variant.Zusy.57312 (DB)
    F-Prot: OK
    F-Secure: Malware detected
    G data: Virus: Gen:Variant.Zusy.57312 (Engine A)
    IKARUS: Trojan.Win32.Llac
    Immunet/ClamAV: OK
    K7 Ultimate: Trojan ( 0045044c1 )
    Kaspersky Internet Security 2013: Trojan.Win32.Llac.dlbg
    McAfee Total Protection 2013: Artemis!3000422BFCE6
    Microsoft Security Essentials: TrojanSpy:Win32/Usteal.D
    NANO: Trojan.Win32.Llac.cbciel
    NOD32: @Trojan.Win32/Injector.AKPY
    Norman: winpe/Llac.EXE
    Norton Internet Security: OK
    Outpost Security Suite Pro 8.0: Trojan.Llac!F60Ij3N/rYQ (Trojan)
    Panda Antivirus: OK
    Panda Cloud: Не робит
    Quick Heal: TrojanSpy.Usteal
    Sophos: Mal/Generic-S
    SUPERAntiSpyware: Trojan.Agent/Gen-Dropper.Process
    Total Defense Internet Security: OK
    Trendmicro Titanium Internet Security: OK
    Twister Antivirus 8: Trojan.Llac.dlbg.gucx
    VBA: Malware-Cryptor.VB.gen.1
    VIPRE Internet Security 2013: Trojan.Win32.Generic!BT

    Хреновенько иметь Stub 26/36
    Открываем PECompact портабле выбираем наш Stub далее нажимаем параметры для выбранных не чего не трогаем кроме... Уровня сжатия его я поставил на 6 нажимаем ок и сжимаем после этого идём опять проверять наш Stub и видим

    Название файла: stub.exe
    Размер файла: 65024 байт
    Дата сканирования: Thu, 22 Aug 13 15:18:07 -0400
    MD5-хэш файла: fe9bf2d01234812ebe5018f1676030c1

    Результат: 8 из 36

    Ad-Aware: OK
    AhnLab V3 Internet Security: OK
    ArcaVir: OK
    Avast: OK
    AVG: trj.Generic34.AEBB
    Avira: TR/Crypt.XPACK.Gen Trojan!
    Bitdefender/BullGuard: OK
    BullGuard Internet Security 2013: OK
    ClamAV (UNIX version): PUA.Packed.PECompact-1
    Comodo: OK
    Dr.Web: OK
    Emsisoft Anti-Malware (a-squared Anti-Malware): OK
    eScan Internet Security Suite 14: OK
    F-Prot: OK
    F-Secure: OK
    G data: OK
    IKARUS: Trojan-Downloader.Win32.VB
    Immunet/ClamAV: OK
    K7 Ultimate: OK
    Kaspersky Internet Security 2013: Trojan.Win32.Agent.aapao
    McAfee Total Protection 2013: OK
    Microsoft Security Essentials: TrojanSpy:Win32/Usteal.D
    NANO: OK
    NOD32: Malware detected
    Norman: OK
    Norton Internet Security: OK
    Outpost Security Suite Pro 8.0: OK
    Panda Antivirus: OK
    Panda Cloud: Не робит
    Quick Heal: OK
    Sophos: OK
    SUPERAntiSpyware: OK
    Total Defense Internet Security: OK
    Trendmicro Titanium Internet Security: OK
    Twister Antivirus 8: OK
    VBA: Malware-Cryptor.VB.gen.1
    VIPRE Internet Security 2013: OK

    Уже лучше 8/36
    Но хочется ещё лучше поэтому выбираем любой антивирус из списка которые палят наш Stub и тут на барабане IKARUS правильней было бы выбрать авиру или каспера ведь если им запудрить мозги то и некоторые другие ав уйдут ну я боюсь с ними мороки больше будет ну да ладно устанавливаем ikarus(или что хотите)
    Всё установили обновили и выключили защиту что бы не мешала и так приступи
    Криптуем simple.exe кидаем на рабочий стол заходим в Chameleon Offset Locator 2.0 вкладка Dsplit
    1.Выбираем файл в нашем случае simple.exe
    2.Выбираем пустую папку которую мы тока что создали =D
    Дальше нажимаем на
    [​IMG]

    И на Start
    В этой папке появляются файлы травим на папку антивирус что бы удалял то что нашёл
    Мой ав удалил 7 файлов с 61000 до 67000 у меня остались файлы с 1000 до 60000 и так после 60000 должен идти 61000 и ав его удалил значит он нам и нужен пишем в Chameleon Offset Locator 2.0 а иммено Initial offset 60000 в Final offset пишем то же самое только на 1000 больше получается 61000 Block size ставим 10 получилось.
    Нажимаем Start и опять же кидаем туда антивирус и удаляем всё что он тока нашёл последний файл у меня 60800 значит я пишу в Initial offset 60800 а в Final offset 60810 и Block size ставлю 1 нажимаю Start и опять же кидаю туда ав смотрим ав оставил у меня 4 файла от 60800 до 60803 а куда же делись остальные особенно 60804?Это зараза его удалила надо вернуть нажимаем ещё раз старт в Chameleon Offset Locator 2.0 и в папке удаляем все файлы кроме 60804 и создаём новую папку =) идём в Chameleon Offset Locator 2.0 во вкладку AvFucker
    1.опять же наш файл в моём случае это 60804.exe
    2.Папка новая новая которую тока сейчас создали =D
    Initial offset я поставлю 60000 Offset end 60804 всё остальное строго 1 ну кроме Complete With это срого 90
    [​IMG]

    И нажимаем Start
    Ну и Ежу понятно что кидаем туда ав =) Ждём... Удаляем всё что нашёл ав ну по идеи ав должен сам удалят то что находит ^^
    Теперь вернёмся к нашему simple.exe переименовываем его так же как и наш последний файл у меня
    60804 - 1 simple.exe и делаем рядом с ним папку новую ту пока оставляем) Вы чё ещё папку не сделали я чё так быстро всё делаю? =DDDD ладно заходим опять в Chameleon Offset Locator 2.0 ну вы даже можете не выходить из него это я так образно)
    1.Наш файл 60804 - 1 simple.exe тот который мы переименовали
    2.Новая папка которую тока что создали =D
    Initial offset так же как и в преведушем 60000 и Offset end 60804 нажимаем Start
    Теперь обьясню чутка в папку которую мы тока что сделали Авфак там рабочие файлы а в той которой мы до этого делали там не рабочие файлы но не палевные имена у них схожи тоесть в новой папке допустим есть файл 1.exe и в старой папке есть 1.exe в новой есть 2.exe а в старой нету потому что его удалил антивирус так вот нам надо скинуть все файлы в старую папку а если есть схожие имена то не переписывать а просто оставить в новой (Очень сильно надеюсь вы знаете как это зделать очень лень описывать=( ) У меня осталось 96 файлов каждый запускаем по 1 смотрим какой работает о как повезло самый первый и работает его погоняло 60600 - 1 60804 - 1 simple.exe отлично теперь идём в Hex Workshop ну или другой какой у вас там редактор и выбираем наш обычный Stub пишем в поиск 60600 и находим
    [​IMG]
    изменяем байты на 90 далее идём на 60804 и тоже изменяем на 90
    [​IMG]
    сохраняем и вуаля мой стаб не палит Ikarus
    Идём на онлайн сканер и и вот оно)
    Название файла: stub.exe
    Размер файла: 65024 байт
    Дата сканирования: Thu, 22 Aug 13 16:45:16 -0400
    MD5-хэш файла: eafe12e24b076022bd2538102f1210a0

    Результат: 7 из 36

    Ad-Aware: OK
    AhnLab V3 Internet Security: OK
    ArcaVir: OK
    Avast: OK
    AVG: trj.Generic34.AEBB
    Avira: TR/Crypt.PEPM.Gen Trojan!
    Bitdefender/BullGuard: OK
    BullGuard Internet Security 2013: OK
    ClamAV (UNIX version): PUA.Packed.PECompact-1
    Comodo: OK
    Dr.Web: OK
    Emsisoft Anti-Malware (a-squared Anti-Malware): OK
    eScan Internet Security Suite 14: OK
    F-Prot: OK
    F-Secure: OK
    G data: OK
    IKARUS: OK
    Immunet/ClamAV: OK
    K7 Ultimate: OK
    Kaspersky Internet Security 2013: Trojan.Win32.Agent.aapao
    McAfee Total Protection 2013: OK
    Microsoft Security Essentials: TrojanSpy:Win32/Usteal.D
    NANO: OK
    NOD32: 0
    Norman: OK
    Norton Internet Security: OK
    Outpost Security Suite Pro 8.0: OK
    Panda Antivirus: OK
    Panda Cloud: Не робит
    Quick Heal: OK
    Sophos: OK
    SUPERAntiSpyware: OK
    Total Defense Internet Security: OK
    Trendmicro Titanium Internet Security: OK
    Twister Antivirus 8: OK
    VBA: Malware-Cryptor.VB.gen.1
    VIPRE Internet Security 2013: OK

    Всё метод закончился ну ша скашу пару словечек о методе...
    Этим методом можно сделать полный FUD тоесть 0/36 антивирусов это с Ikarusom легко если бы это был касперский мой файл щяс бы дальше палился и надо было бы не идти в хекс редактор а точно также этот файл опять чистить антивирусы могут креплятся не как ikarus avast или drweb к 1 сигнатуре они могут к 2 к 3 1 раз авира к 4 всосалась так что поймите это просто пример вы можете добавить что то своё или сделать по другому вообщем дерзайте!!!
    Please login or register to view links
    Парол:
    [​IMG]crypt-fud

    Писал ночью и всё делал мог допустить ошибки строго не судите всё я спать! =)
    Статья написана в ознакомительных целях!
     
    • Like Like x 5
    Метки:
  2. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Не соглашусь что всегда делается полный fud.
    Почти на всех паблик стабах есть антивири которые удалят все файлы.
    Да и за частую трудно найти бит который не палиться и не ломает стаб.


    По поводу спойлера:
    Окружи то что хочешь туда поместить таким вот: [ S P O I L E R] [ \ S P O I L E R]
    тока без пробелов
    в этой теме сам окружу пока тебя нету
     
  3. TopicStarter Overlay
    Serge

    Serge

    Регистрация:
    11 дек 2012
    Сообщения:
    109
    Симпатии:
    38
    Спасибо.
    Да ты прав что антивири убить могут все вообще файлы в папке. У меня так было, каспер убивал все файлы стаба который я хотел почистить. но можно ведь запаковать мало известным упаковщиком и потом разбивать, мб я и не прав конечно.
     
  4. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Я попробую позже упаковывать...
    Попробуй уже почищеный стаб до хотябы 5 ав пакануть? увеличаться иль нет ав?
     
  5. TopicStarter Overlay
    Serge

    Serge

    Регистрация:
    11 дек 2012
    Сообщения:
    109
    Симпатии:
    38
    тоже только вечером смогу за тестить, на работе сейчас.
     
  6. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Пробовал, до фуда дочистить можно, я бы сказал даже ЛЮБОЙ стаб, но тут нужно везение, ну я бы это больше интуицией назвал.
    А по поводу темы:
    1)не вижу смысла делать все процедуры с криптованным файлом, можно со стабом работать.
    2)не вижу смысла сначала mode dsplit а потом mode av-fucker. Легче сразу ж ав-факером делать все.
    Но это моя точка зрения. У автора другая. Может у него и правильнее
     
    • Like Like x 1
  7. Palach100

    Palach100

    Регистрация:
    27 авг 2013
    Сообщения:
    309
    Симпатии:
    150
    Статья хорошая, скоро попробую свой файл один криптануть
     
  8. ViktorZ

    ViktorZ Гость

    Автор у меня такой вопрос)) Сделал всё как написано однако..
    вот ты говоришь: "У меня осталось 96 файлов"
    запускайте по очереди, а что делать если не 1 не работает?))
     
  9. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    В каком моменте они не работают?
    Если с размером секции 10 или 100 или 1000 то они естественно работать не будут!!!
    А вот если файлы не работают с размером секции 1 то уже не везет тебе с этим файлом.;)
     
  10. carartem02

    carartem02

    Регистрация:
    6 фев 2013
    Сообщения:
    280
    Симпатии:
    108
    А тут ты уже сам думай :) (т.к. я раньше сам не знал)
     
  11. ViktorZ

    ViktorZ Гость

    Ну вот в этом и проблема)) Не работает именно с размером секции 1) Попробую ещё что-нибудь намудрить, почитать) хотя лучше бы просто повезло))
     
  12. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Пробуй менять бит не на 90 а на 00 или 40...
    Это может сыграть роль)
     
  13. ViktorZ

    ViktorZ Гость

    Не помогает((
     
  14. todrom

    todrom

    Регистрация:
    8 июн 2013
    Сообщения:
    31
    Симпатии:
    39
    способ показаный здесь содержит несколько ошибок, поэтому работать не будет
     
  15. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Так укажи на эти ошибки, исправим!
     
  16. todrom

    todrom

    Регистрация:
    8 июн 2013
    Сообщения:
    31
    Симпатии:
    39
    далее идём на 60804 и тоже изменяем на 90 - вот это ересь полная, меняют только 1 байт
    --- добавлено: 7 сен 2013 в 11:09 ---
    а чтобы понятно было, как это делается на самом деле, вот вам видео Please login or register to view links
     
  17. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Во первых бит, а не байт.
    А во вторых. Почему бы не изменить несколько битов? если работоспособность сохранятся....
     
  18. todrom

    todrom

    Регистрация:
    8 июн 2013
    Сообщения:
    31
    Симпатии:
    39
    автор, который выложил описание на крипт фуд, посмотрел это видео, нихрена непонял и фигню понаписал и вас вводит в заблуждение
    --- добавлено: 7 сен 2013 в 11:12 ---
    работоспособность описаная в способе несохранится
     
  19. Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Почему бы тебе не написать такую же статью но правильную? Выкладывай как новую тему на форум. Цены тебе не будет)) А критиковать других, знаешь ли, каждый может...
     
    • Like Like x 1
  20. todrom

    todrom

    Регистрация:
    8 июн 2013
    Сообщения:
    31
    Симпатии:
    39
    я же выложил видео, там всё понятно
     

Поделиться этой страницей

Загрузка...