Защити свои аккаунты качественными и приватными прокси форматов IPv4 и IPv6! - Proxy-seller Обьявление на Форуме

 Уважаемые пользователи! В данный момент на Форуме ведутся технические работы, возможна не корректная работа сайта, приносим свои извинения. В ближайшие время, все работы будут завершены!

Как сохранить Fud у вируса, копипаст(!)

Обратите внимание, если вы хотите заключить сделку с этим пользователем, что он заблокирован!
[FAQ] Как сохранить FUD у криптора | вируса
Tермины & Определение
  • RunPe
  • Runpe - это часть кода которая инжектирует функциональную часть вируса в память выбранного процесса.
  • Injection
  • Процесс по размещения PayLoad в память выбранного процесса называется Инъекция т.е Injection
  • Наиболее часто инъецированные процессы:
  • svchost.exe
  • Regasm.exe
  • explorer.exe
  • Браузер по умолчанию ( chrome.exe, opera.exe, firefox.exe, iexplorer.exe )
  • itselt - т.е сам ( Имея в виду PayLoad инжектится в запущенный процесс )
  • vbc.exe
  • cvtres.exe
  • PayLoad
  • объясняя новичкам это означает, файл который вы выбрали для шифрования (т.е вирус)
  • Ecryption
  • Алгоритм который "Защищает" преобразовывает байты выбранного файла, делая их неузнаваемыми и полностью отличающими от оригинальных байтов файла.
  • Stub
  • Программа создаётся для того чтоб хранить зашифрованный файл (encrypted file) и при запуске инжектировать его в память
  • Это где
  • Private Stub
  • Тоже самое, что и выше кроме того что вы должны быть единственным человеком, использующий этот Stub
  • Kод в основном сильно отличается от "Публичных Стабов" что делает его труднее обнаруживаемой при сканирование
  • Дальше придерживается "FUD" - Fully undetectet

Как всё это работает?

  • Иллюстрация 1.1 демонстрирует что криптер делает с вашим сервером
Иллюстрация 1.1:

СканТайм vs РанТайм?

  • Определение Скантайма
  • Файл при сканирование обнаруживаемый - означает: Если до того как его запустили Антивирус обнаруживает его или когда сканирование запущено файл был обнаружен и отмечена как Угроза
  • Обнаружения при сканирование (Scantime Detect) вызваны видимыми инструкциями файла или "PE info" - как сборка/иконка, Клонированный сертификат, тип ресурсов и размер файла.
  • В основном это означает что RAT/Server которую вы криптуете практический не отличается потому что файл был зашифрован Хреного плохо или для Антивирусов узнаваемым способом.
  • Безопасные место где вы можете проверять Стаб на ScanTime Detection это:
MajyxScanner Scan4You AvDetect

  • Oпределение Рантайма
  • Файл при запуске обнаруживаемый - означает: Если файл был запущен и вашь Антивирус обнаружил его и отметил его как угрозу и Заблокировал, Остановил, Удалил его.
  • Обнаружения при запуске (Runtime Detect) вызвано из за поведения. Восновом как ваш файл действует и выполняется может и вызвать обнаружение при запуске.
  • Rat/Server который вы закриптовали влияют на обнаружение при запуске
  • Если вы хотите избежать обнаружение при запуске (Runtime Detect) вы должны воздерживаться от перегруженных настроек. RootKit (руткит) вероятнее всего будут обнажении. Лучше всего использовать как можно меньше настроек/функций при создание вашего сервера и более из криптора. Почему? да потому что легко обнаружить поведение широко известного RAT-а, когда он некогда не был обновлён и изменён. Криптеры обновляются и модифицируются так что более надежнее использовать их настройки чтоб избежать Runtime Detect-а.
  • Способ предотвратить некоторые Runtime Detect-и это Анти сканирование памяти (Anti Memory Scan). Которая в основном будет отказать в доступе к пространству памяти где ваш сервер будет работать.
  • Безопасные место для сканирование Runtime Detection было Refud.Me но их Закрыли!

  • Обнаружение
  • Scantime
  • Вызванное пользователем:
Базовые/общие обнаружение - частая причина: Размер, Иконка и информация файла выбранные пользователем. Пример общих обнаружении: Kazy (это может быть и вина "кодеров" в некоторых случаях) Bary Zusy Gen:* - этот детект можно легко убрать: Изменой иконки - (иконкой низкого разрешения / размера) Изменой информации о файле - ( найти инфо доверенных программ) Немного добавить размер - Pump File Если всё это не сработает - Попробуйте удалить информацию о файле (Используя ResHacker)
  • Вызванное Криптером/програмистом(кодером):
Евристические обнаружения и некоторые общие обнаружения Структура PE Примеры обнаружения: Injector.* ( т.е общего обнаружение NOD32 Detection ) Heur.* MSIL.*

  • Runtime
  • Вызванное пользователем:
  • Выбирание всех возможных настроек в RAT.
  • Выбор общих процессов для инжекта
  • Здесь некоторые инструкции как исправить всё это:
  • Избегайте инжекта в процессы как svchost.exe т.е известные
  • Добавьте Задержку (30сек+) этим можно обходить Рантайм некоторых Антивирусов
  • Добавьте хорошую информацию и иконку

  • Вызванное Криптером/программистом(кодером):
  • Чрезмерное использование Runpe без модификации
  • Copy&Paste кода
  • Долгое время не проверял Runtime Detection


Как не "развращать" ваш Server?

  • Чего Следует избегать:
  • Двойное криптование - С какой стати вы это делаете???
  • Кликанье на каждую отдельную функцию в RAT и в Crypter-е тоже
  • Важные Вещи, что нужно держать в уме:
  • ваш файл Native или .NET/Мanaged?
Native RATS програмированны без зависимостей (т.е C, C++, VB6, Delphi) DarkComet CyberGate Prototype NetWire Babylon NanoCore LuminosityLink Immenent Monitor 3 njRAT PiRat Quesar RAT
  • Является ли ваш файл .NET?
  • Рекомендированно использовать для инекции "itself" использование других настроек может испортить вашь файл.

  • Является ли ваш Файл Native?
  • Рекомендованно не использовать для инекции "itself". Выберите что-то другое.

Почему Мой Файл уже не FUD?

  • Очень важные факторы в том как быстро она детектится:
Распространение вируса Где файл был загружен Насколько велике и популярна и сколько клиентов в вашем Криптосервисе Какой малварь был закриптован Антивирусы обновляются минимум раз в день!
Это и есть работа криптора, они могут стать обнаруживаемы. Но Refud чистить его возможно, это делается менее чем за час!

Как не испортить вашему криптору FUD Time?

  • Чего следует избежать:
Сканирование на сайты: которые сливают ваши файлы антивирусным компаниям
  • Запрещённые сайты для сканирования(здесь не все):
VirusTotal Anubis Jotti
Загрузка ваших файлов на сайты Uploading Host Files
  • Запрещённые сайты для загрузок ваших файлов(здесь не все):
DropBox MediaFire GoogleDrive
Не отправляйте ваши файлы через Скайп! (Иллюстрация 1.2)
Иллюстрация 1.2:


  • Дела которые необходимо делать:
  • Каждый антивирус будет делится семплами с ваших ПК убедитесь, что вы отключили любую такую услугу на ваших AVs.

Как не надоедать владельцу криптера?
  • Чего следует избегать:
Спамерство
Постить резултаты детекта на оф.сайте в комментариях ОСОБЕННО тогда когда эти детекты ваша вина.

  • Дела которые необхадимо делать:
Если вы отправляете саппорту сообщение, что ваш файл не работает укажите все настройки которые вы использовали.
будь терпеливым Соблюдай правила Не будь идиотом Читайте все инструкции/видео уроки для настройки криптера а после этого общайтесь с саппортом для решение ваших проблем

Crypter Характеристики и описание:

  • Startup инсталация:
Модуль стаба который добавляет вашь криптований файл в список програм запускамих Windows (startup/msconfig)
Многие различные типы: Использование регистра(regedit), Задачи, Копирование файла в Startup фолдет, другие...

  • Startup Persistence:
Модуль который проверяет удалён ли вашь файл из списка Startup
  • Anti Memory Scan:
Модуль который запрещает доступ к всему что попытается прочитать инжектированый пейлоад (инжектирований вирус загружений в какой либо процесс)
Чрезвычайно полезно для обхода RunTime Detect

  • Elevate Process/Privileges:
Попытки получить права администратора для вашего файла.
  • Critical Process:
Изменяет некоторые атрибуты работы вашего файла, который будет вызывать BSOD (Синий экран смерти).
  • Mutex:
Очень полезная функция, чтобы убедиться, что ваш файл не работает более чем один раз в то же время.
  • Melt File:
Удаляет / Удаляет файл после того, как он успешно запустился.
  • File Pumper:
Добавляет определенное количество байтов (со значением 0) в конце файла, увеличивая его размер, но не нарушает каких-либо процедур во время выполнения.
  • Compress:
Уменьшает выходной размер.
  • Icon or Assembly Cloner:
Копирование данных Ассамблеи или значок выбранного файла. (чтобы обойти некоторые общие обнаружения)
  • Encryption Algorithm:
Функция используется для преобразования байтов RAT/ Server в нечто совершенно другое.
  • Delay Execution:
Используется для "Stop" - приостановить свой файл, во время работы. В течение определенного периода времени.
Добавление 30+ секунд будет в некоторых случаях обходить RunTime Detection, верить этому или нет вам решать!.

  • Binder:
Добавлять другой файл в стаб, после запуски стаба вашь RAT/Server запустится но с этим и файл который вы забиндовали.
  • Downloader:
Ну это очевидно, загружает и запускает файл с заданного URL-адреса.
  • USG – Unique Stub Generator:
Будьте уверены что чекая эту функцию вы используйте разные стабы и они будут отличатся от предыдущего крипта.
В реале это функция прост изменяет имена переменных и какие-то методы.

  • Fake Message Box:
Фейковое сообщение при запуске
  • Hide File:
файл будет Hidden поэтому жертва не может увидеть вирус в папке.
  • Antis:
Остановите свой файл от запуска, если некоторые программы работают в фоновом режиме:
  • Популярные Anti:
Anti Virtual Machine (VMWare, VirtualBox and VirtualPC) Anti Sandboxie Anti Wireshark Anti Fiddler Anti Debugger Anti Anubis
  • Botkill:
Ищет любые существующих файлов или процессов, которые могут быть вредоносные программы и убивает / удаляет их из системы.
  • Spreaders:
  • Копирует файл в тех местах, где он может заразить других пользователей.
  • Спреадерс не работают так что не ебите себе мозгы
  • Common spreaders:
  • USB
  • Rar/Zip
  • Chat/IM (Skype, Facebook, Omegle, Twitter) -Spamming
  • Junk Code:
  • Добавляет безспалезний мусорний код для баипасса Scantime Detection
  • Remove Version Info:
  • Удаляет инфу о файле
  • Require Admin:
  • Запрашивает окно UAC с просьбой, чтобы запустить файл как Admin.
  • Certifcate Clone/Forger:
  • Добавляет сертификат к файлу
 
Хороший так сказать гайд. Только одно не понятно, есть крипторы, там всякие файлы созданные на С#. Как ими пользуются? Куда эти файлы кидают что бы закриптовать?
Пример, скачал папку с криптером с гитхаба, открываю, а там не понятные файлы.
Вот например CyberSeal это приложение, там интуитивно понятно. Объясните, простите за выражение как 12 летниму.
 
Сверху Снизу