Всё, что вам нужно знать. Мы разьяснаем здесь: функции, параметры настроек, базовые знания, обнаружения, как не портить свой стаб и в итоге как не наскучивать владелца криптера!. Tермины & Определение RunPe Runpe - это часть кода которая инжектирует функциональную часть вируса в память выбранного процесса. Injection Процесс по размещения PayLoad в память выбранного процесса называется Инекция т.е Injection Наиболее часто инъецированные процессы: svchost.exe Regasm.exe explorer.exe Браузер по умолчанию ( chrome.exe, opera.exe, firefox.exe, iexplorer.exe ) itselt - т.е сам ( Имея в виду PayLoad инекцируется в запушений процесс ) vbc.exe cvtres.exe PayLoad обьясная новичкам это означает, файл который вы выбрали для шифрования (т.е вирус) Ecryption Алгоритм который "Защищает" переобразовает байты выбранного файла, делая их неузнаваемыми и польностью отличающими от оригиналних байтов файла. Stub Программа создаётся для того чтоб хранить зашифрований файл (encrypted file) и при запуске иньжектировать его в память Это где Private Stub Тоже самое, что и выше кроме того что вы дольжни быть единственным человеком, использувший этот Stub Kод в основном сильно отличается от "Публичних Стабов" что делает его труднее обнаруживаемой при сканирование Долше продежривается "FUD" - Fully undetectet Как всё это работает? Иллюстрация 1.1 демонстрирует что криптер делает с вашим сервером Иллюстрация 1.1: СканТайм vs РанТайм? Определение Скантайма Файл при сканирование обнаруживаемый - означает: Если до того как его запустили Антивирус обнаруживает его или когда сканирование запущено файл был обнаружен и отмечена как Угроза Обнаружения при сканирование (Scantime Detect) вызваны видымими инструкциями файла или "PE info" - как сборка/иконка, Клонирований сертификат, тип ресурсов и размер файла. В основном это означает что RAT/Server которую вы криптуете практический не отличается потому что файл был зашифрован Хреного плохо или для Антивирусов узнаваемым способом. Безопасные место где вы можете проверять Стаб на ScanTime Detection это: MajyxScanner Scan4You AvDetect Oпределение Рантайма Файл при запуске обнаруживаемый - означает: Если файл был запушень и вашь Антивирус обнаружил его и отметил его как угрозу и Заблокировал, Остановил, Удалил его. Обнаружения при запуске (Runtime Detect) вызвано из за поведения. В основом как вашь файл действует и выполняется может и вызвать обнаружение при запуске. Rat/Server который вы закриптовали вляют на обнаружение при запуске Если вы хотите избежать обнаружение при запуске (Runtime Detect) вы дольжни воздерживаться от перегружених настроек. RootKit (руткит) вероятнее всего будут обнаружени. Лучше всего использовать как можно меньше настроек/функций при создание вашего сервера и более из криптора. Почему? да потому что легко обнаружить поведение широко известного RAT-а, когда он некогда не был обнавлён и изменён. Криптеры обновляются и модифицируются так что более надежнее использовать их настройки чтоб избежать Runtime Detect-а. Способ педотвратить некоторые Runtime Detect-и это Анти сканирование памяти (Anti Memory Scan). Которая в основном будет отказать в доступе к пространству памяти где вашь сервер будет работать. Безопасные место для сканирование Runtime Detection было Refud.Me но их Закрыли! Обнаружение Scantime Вызванное пользователем: Базовые/общие обнаружение - частоя причина: Размер, Иконка и информация файла выбранные пользователем. Пример общих обнаружении: Kazy (это может быть и вина "кодеров" в некоторых случаях) Bary Zusy Gen:* - этот детект можно легко убрать: Изменой иконки - (иконкой низкого разрешения / размера) Изменой ифнормации о файле - ( найти инфо довереных програм) Немного добавить размер - Pump File Если всё это не сработает - Попробуйте удалить инфорамцию о файле (Используя ResHacker) Вызванное Криптером/програмистом(кодером): Евристические обнаружения и некоторые общие обнаружение Структура PE Примеры обнаружения: Injector.* ( т.е обшего обнаружение NOD32 Detection ) Heur.* MSIL.* Runtime Вызванное пользователем: Выбирание всех возможних настроек в RAT. Выбор общих процессов для инжекта Здесь некоторые инструкции как исправить всё это: Избегайте инжекта в процессы как svchost.exe т.е известные Добавьте Задержку (30сек+) этим можно обоходить Рантайм некоторых Антивирусов Добавьте хорошую информацию и иконку Вызванное Криптером/програмистом(кодером): Черезмерное использование Runpe без модификации Copy&Paste кода Долгое время не проверял Runtime Detection Как не "разврашать" вашь Server? Чего Следует избегать: Двойное криптование - С какой стати вы это делаете??? Кликание на каждую отдельную функцию в RAT и в Crypter-е тоже Важние Вещи, что нужно держать в уме: вашь файл Native или .NET/Мanaged? Native RATS програмированны без зависимостей (т.е C, C++, VB6, Delphi) DarkComet CyberGate Prototype NetWire Babylon Managed RATS програмированны с зависимостю (т.е VB.NET, C#, Java) NanoCore LuminosityLink Immenent Monitor 3 njRAT PiRat Quesar RAT Явлается ли вашь файл .NET? Рекомендирована использовать для инекции "itself" использование других настроек может испортить вашь файл. Явлается ли вашь Файл Native? Рекомендирована не использовать для инекции "itself". Выберите что-то другое. Почему Мой Файл уже не FUD? Очень важние факторы в том как быстро она детектится: Распостронение вируса Где файл был загружень Насколько велике и популярна и сколько клиентов у вашей Криптосервисе Какой малварь был закриптовань Антивирусы обновлаются минимум раз в день! Это и есть работа криптора, они могут стать обнаружеваемы. Но Refud чистить его возможно, это делается менее чем за час! Как не испортить вашему криптору FUD Time? Чего следует избежать: Сканирование на сайты: которые сливают ваши файли антивирусним компаням Запрещённые сайты для сканирование(здесь не все): VirusTotal Anubis Jotti Загрузка ваших файлов на сайты Uploading Host Files Запрещённые сайты для загрузок ваших файлов(здесь не все): DropBox MediaFire GoogleDrive Не отправляйте ваши файли через Скайп! (Иллюстрация 1.2) Иллюстрация 1.2: Дела которые необхадимо делать: Каждый антивирус будет делится семплами с ваших ПК убедитесь, что вы отключили любую такую услугу на ваших AVs. Как не наскучивать владелца криптера? Чего следует избегать: Спамерство Постить резултаты детекта на оф.сайте в коментарях ОСОБЕННО тогда когда эти детекты ваша вина. Дела которые необхадимо делать: Если вы отправалете саппорту сообщение, что вашь файл не работает укажите все настройки которые вы использовали. будь терпеливым Соблюдай правила Не будь идиотом Читайте все иснтрукции/видео уроки для настройки криптера а после этого общайтес с саппортом для решение ваших проблемь Crypter Характеристики и описание: Startup инсталация: Модуль стаба который добовлает вашь криптований файл в список програм запускамих Windows (startup/msconfig) Многие различные типы: Использование регистра(regedit), Задачи, Копирование файла в Startup фолдет, другие... Startup Persistence: Модуль который проверает удалён ли вашь файл из списка Startup Anti Memory Scan: Модуль который запрешает доступ к всему что попытается прочитать инжектирований пейлоад (инжектирований вирус загружений в какой лыбо процесс) Чрезвычайно полезно для обхода RunTime Detect Elevate Process/Privileges: Попытки получить права администратора для вашего файла. Critical Process: Изменяет некоторые атрибуты работы вашего файла, который будет вызывать BSOD (Синий экран смерти). Mutex: Очень полезная функция, чтобы убедиться, что ваш файл не работает более чем один раз в то же время. Melt File: Удаляет / Удаляет файл после того, как он успешно запустился. File Pumper: Добавьляет определенное количество байтов (со значением 0) в конце файла, увеличивая его размер, но не нарушает каких-либо процедур во время выполнения. Compress: Уменьшает выходной размер. Icon or Assembly Cloner: Копирование данных Ассамблеи или значок выбранного файла. (чтобы обойти некоторые общие обнаружения) Encryption Algorithm: Функция используется для преобразования байтов RAT/ Server в нечто совершенно другое. Delay Execution: Используется для "Stop" - приостановить свой файл, во время работы. В течение определенного периода времени. Добавление 30+ секунд будет в некоторых случаях обходить RunTime Detection, верить этому или нет вам решать!. Binder: Добовлять другой файл в стаб, после запуски стаба вашь RAT/Server запустится но с етим и файл который вы забиндовали. Downloader: Ну это очевидно, загружает и запускает файл с заданного URL-адреса. USG – Unique Stub Generator: Будьте уверени что чекая эту функцию вы используйте разные стаби и они будут отличатся от предедушего крипта. В реале это функция прост изменает имена переменных и какие-то методы. Fake Message Box: Фейковое сообщение при запуске Hide File: файл будет Hidden поэтому жертва не может увидеть вирус в папке. Antis: Остановите свой файл от запуска, если некоторые программы работают в фоновом режиме: Популярние Anti: Anti Virtual Machine (VMWare, VirtualBox and VirtualPC) Anti Sandboxie Anti Wireshark Anti Fiddler Anti Debugger Anti Anubis Botkill: Ишет любые существующих файлов или процессов, которые могут быть вредоносные программы и убивает / удалияет их из системы. Spreaders: Скопировoвает файл в тех местах, где он может заразить других пользователей. Спреадерс не работают так что не ебите себе мозгы Common spreaders: USB Rar/Zip Chat/IM (Skype, Facebook, Omegle, Twitter) -Spamming Junk Code: Добовлает безспалезний мусорний код для баипасса Scantime Detection Remove Version Info: Удалает инфу о файле Require Admin: Запрашивает окно UAC с просьбой, чтобы запустить файл как Admin. Certifcate Clone/Forger: Добовлает сертификат к файлу
