РЕКЛАМА НА ФОРУМЕ 

РЕКЛАМА НА ФОРУМЕ MultiVPN РЕКЛАМА НА ФОРУМЕ

Чистим "Цепочкой".

webster

Гость
Вот и первая тема в этом разделе, пожалуй начну я. Постоянно работая со стабами я начал замечать разные закономерности в их чистке. Вот я пишу об одном из них, способ не есть панацеей, но в разных случаях по разному влияет на детект ( было даже 15 сразу отсекал, было 2 - 3 ), основные ав такие как kasper, dr.Web, NOD32 вряд ли он обломит, но все же...
Чтоб начать нам нужно иметь некий арсенал программ:
1. Ollydbg ( Дальше олька ).
2. PEID
3. PETools
4. oxi joiner

Если все загрузили, переходим дальше, к самому основному.

"Цепочка" ( Это я сам придумал :D ) - это способ чистки изменяя EP ( Entry Point (точку входа) ), с некой модификацией, то есть мы изменим точку входа, и "понаставляем" джампов, которые запутают кривые ав :D ( Если Вы ничего не поняли, то читайте дальше, подробней остановимся) ).
Надеюсь Вы уже вытянули стаб с oxi joiner'a, тогда приступим к самой работе.( По просьбе, пишу как извлекать стаб ):

1. Качаем Restorator, хз где, хз как. Гугль в помощь. :D
2. Запускаем Restorator и перетягиваем туда нашу прогу.
3. Вытягиваем стаб так:


Сначала мы будем работать с олькой, запускаем в ней наш стаб.



Видим 4 разных окна, сегодня мы будем работать только с первым. Именно с отладочными командами, а не с регистрами и т.п. .

Нажимаем Ctrl + g и видим что появилось окошко "Enter exp..." , вводим туда 401000 и жмем ок.



Когда мы перешли, первым делом нам следует узнать точку входа, её увидеть можно на скрине, первым идет адрес ( 00401AD8 ), а потом пропись
"STUB(зависит от названия вашего файла).<ModuleEntryPoint>".



Так как записывать мы будем в конец файла, переходим туда.



Начинаем запись с джампа на точку входа, то есть на 00401AD8. Следующие 3 команды могут быть произвольными, мне нравится ставить всякие ненужные джампы. В итоге у нас получится так:



Если вы не ошиблись и джамп на точку входа правильный, вам вместо адреса напишет <ModuleEntryPoint>.

После того как мы сделали 3 мусорных джампа, нам стоит прыгнуть на тот джамп, который в свою очередь прыгнет на точку входа ( у нас это 401С20 ).
Делаем еще три джампа и прыгаем на 401С24 тем самим создавая цепочку.



Повторяем еще пару раз и закрываем цепочку.



Мы сделали джамп на нолики, на всякий случай чтоб этот код не выполнила программа ( когда нам не надо ). Ну по идее этого не должно произойти так как 401С1С это у нас пустой, но все таки))
Сохраняемся и выходим, но перед этим запоминаем последний адрес нашего "цепочного" джампа ( 00401С67 ).



Теперь нам предстоит работать с PETools. Запускаем её.



Нажимаем на "Tools", потом на Pe Editor и выбираем наш файл.



Теперь самое главное, меняем точку входа.
1. Нажимаем на "Optional Header".
2. Вписываем нашу новую точку входа ( Для того чтоб узнать новую точку, нужно вспомнить наш джамп, который я говорил запомнить (00401С67). Теперь следует от 401С67 - 400000 = 1С67, получаем новую точку. ( Число 400000 постоянное ).
3. Жмем ок.
4. Жмем ок)

Вот и все, файл почищен, давайте его прочекаем:
До:
http://www.metascan-...al9ns7tntvfkb4p
После:
http://www.metascan-...tqsludncrvizvku

10 явно крутых кривых ав курят.

С Вами был Webster, статья написана лично мной и лично для каждого с Вас.

Если что не ясно, пишем в теме, критикуем. Выслушаю все. :D


Если кто то вздумает копировать, оставьте копирайты, ибо найду и оторву яйца.
 
OP

webster

Гость
Разжевал по максимуму, кто не понимает, тому не судьба чистить крипторы.
 
Сообщения
147
Реакции
68
Баллы
38
Не очень то и трудно, но грамм 150-200 накачу лучше
 
OP

webster

Гость
Мб еще чет сегодня напишу. Если будет время. Кстати не советую юзать SignDetect, ав пропалили как он байты изменяет ( запись в конец ) и автоматом детектить начинают.
 
OP

emotion

Гость
Очень уж похожую тему, я у вазонеза читал, ну очень уж похожую =)
 
OP

Mazayyy

Гость
А смысл в этом, если от нода и каспера не прячет?
 
OP

DARKLORD

Гость
Мб еще чет сегодня напишу. Если будет время. Кстати не советую юзать SignDetect, ав пропалили как он байты изменяет ( запись в конец ) и автоматом детектить начинают.
ну SDом ты выявляешь диапазон сигнатур,что палятся и потом используешь выше изложенные проги,а не чистишь.хотя,у меня были случаи,что я тупо пропускал стаб через SN при 1BTW,без каких либо действий еще и таким образом,отсек 1 раз 11 АВ из 16.
 
OP

DARKLORD

Гость
Если кто то вздумает копировать, оставьте копирайты, ибо найду и оторву яйца.
=============================================================================
а если это будет баба...что оторвешь тогда? B)
 
OP

trozik355

Гость
NOD32 как палил, так и палит.
 
OP

webster

Гость
Я вверху писал что можно почистить от парочки. Сейчас еще знаю пару методов, но в пабл кидать их еще рано)
 
OP

churkabes

Гость
мое предложение к ТС сделай гайд-видео по очистке стаб в хорошем разрешение чтобы чайники без 150-200 грамм делали
 
Сообщения
510
Реакции
316
Баллы
78
Как этот стаб потом использовать?
:rolleyes:


Как обратно в джонер то вшить?
 
Сверху