Пишем свой криптор на C#.
Привет, black hat kiddies, сегодня мы напишем свой полу-FUD криптор на языке богов (no) C#.
Итак, прежде чем приступить к кодингу, разберём какие варианты крипторов есть:
Подробнее о полиморфизме и метаморфизме можно почитать тут и тут.
В нашем случае мы будем писать криптор имея байткод. Приступим.
Первый затяг. Принцип работы нашего криптора. Код стаба.
В решении у нас будет два проекта. Стаб криптора, и сам криптор.
Криптор будет передавать зашифрованные байты стабу, а сам стаб их расшифрует, дропнет файл в рандомную папку, и запустит его. Звучит просто, да и на деле это будет несложно.
Создаём новый консольный проект:
Объявим необходимые юзинги:
И теперь сделаем метод дропа файла в рандом папку и его запуска:
И импортируйте их в проект:
Осталось «собрать» главный метод, и стаб готов. А главный метод выглядит так:
Стаб готов, теперь копируем весь код и создаём txt файл, в который помещаем наш код.
Второй затяг. Пишем GUI.
Создаём новый проект Windows Forms.
В конструкторе добавляем 2 textbox’a, 3 button’a, ну и пару label’ов:
Для кнопки выбора файла создаём диалоговое окно:
Добавим методы шифра, получения рандомной строки, конвертирования массива байтов в строку:
Ну и методы XOR и RC4 такие же.
Для кнопки генерации ключа получаем рандом строку:
Теперь добавляем наш txt с кодом стаба в ресурсы проекта:
Пишем свой криптор на C#.
Привет, black hat kiddies, сегодня мы напишем свой полу-FUD криптор на языке богов (no) C#.
Итак, прежде чем приступить к кодингу, разберём какие варианты крипторов есть:
Подробнее о полиморфизме и метаморфизме можно почитать тут и тут.
В нашем случае мы будем писать криптор имея байткод. Приступим.
Первый затяг. Принцип работы нашего криптора. Код стаба.
В решении у нас будет два проекта. Стаб криптора, и сам криптор.
Криптор будет передавать зашифрованные байты стабу, а сам стаб их расшифрует, дропнет файл в рандомную папку, и запустит его. Звучит просто, да и на деле это будет несложно.
Создаём новый консольный проект:
Объявим необходимые юзинги:
И теперь сделаем метод дропа файла в рандом папку и его запуска:
И импортируйте их в проект:
Осталось «собрать» главный метод, и стаб готов. А главный метод выглядит так:
Стаб готов, теперь копируем весь код и создаём txt файл, в который помещаем наш код.
Второй затяг. Пишем GUI.
Создаём новый проект Windows Forms.
В конструкторе добавляем 2 textbox’a, 3 button’a, ну и пару label’ов:
Для кнопки выбора файла создаём диалоговое окно:
Добавим методы шифра, получения рандомной строки, конвертирования массива байтов в строку:
Ну и методы XOR и RC4 такие же.
Для кнопки генерации ключа получаем рандом строку:
Теперь добавляем наш txt с кодом стаба в ресурсы проекта:
Как написать криптор на c
Фреймворк криптора/протектора с антиэмуляцией
На самом деле много людей интересуется протекторами и вирусными технологиями. Кто-то хочет заработать, кто-то хочет повысить скилл в кодинге, кому-то просто это нравится и считается, что это своего вроде исскуство.)
Тем не менее, с момента основания ресурса ru-sfera.org, люди пишут мне с вопросами, хорошо-бы если был-бы какой-то проект, так-сказать каркас, что-то взять за основу. Да, есть готовые проекты, но они либо устарели, либо имеют слишком сложную структуру, либо имеют существенные недостатки, об этом ниже.
Так-как неизвестно-кто будет этим проектом пользоваться и кто прочитает эту статью, начнем с небольшего ликбеза.)
Очень нравится, что про это дело говорил Вазонез (До ухода в реал):
Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами.
Крипторы можно разделить на 2 вида: хорошие и дерьмовые:
Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы.
При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.
Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла.
Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу еб*** и многочисленности авторов таких творений, мы не будем отрываться от стаи.
Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается.
Антивирусы эволюционируют, появились новые технологие защиты (А именно детекты по поведению, детекты по репутации и т.д.), в частноти против крипторов появилась технология сканирования процессов, если вкратце, то антивирус либо сразу перед созданием процесса, либо через какое-то время сканирует процесс.
Тем самым понятно, даже если обойти эмулятор антивируса и сигнатурный детект, мы попадем под детект процесса.
Менять технологию скрытия детекта, вот следующие решения:
Шифровать и скрывать критичные функции в коде (Например шеллы и т.д.), после расшифровки и запуска такой функции, если использовать антиэмуляцию, антивирус ничего сделать несможет.)
Морфить код, если вкратце, это самомодификация кода на лету (Данный метод реализован в этом крипторе).
Честно я так и думал, до недавнего времени, но это несовсем так:
Во первых если у вас есть даже зверек без детекта, его неплохо-бы скрыть от реверсера, к тому-же почти все детектится сейчас автоматикой, в таком случае в большинстве случаев робот задетектит сам криптор, по хешу, или не по хешу, но чем сложнее будет реверсеру, тем больше вероятность, что сам троянчик будет дольше жить.
Во вторых не все антивирусы детектят код в памяти, например виндовый дефендер как-то криво с этим работает.
Некоторые антивирусы дают запустить процесс на пару секунд, а этого и может хватит кстати.)))
С лекбезом закончили, на форуме есть темы для глубокого изучения вопроса:
Теперь про конкретный проект, что он делает:
Поэтому решил я сделать проект, где-бы сам криптованный зверек размещался-бы в дата-секции, т.е. есть программа (я назвал её shell_gen), которая из бинарного файла, делает пошифрованный массив байт и в общем-то больше ничего не делает.)
Далее уже второй проект (Сам криптор), работает с этим массивом данных, т.е. расшифровывает этот массив, делает антиэмуляцию, запускает.
Для достижения метаморфизма, shell_gen генерирует заголовочный файл, со следующими дефайнами:
#define START_MORPH_CODE 5
#define END_MORPH_CODE 14
На основе этих значений при сборки, генерируется «мусорный код» (Математичесие операции и т.д.), который будет случайным, после каждого вызова shell_gen и сборки.
Тем самым код будет разный, как по коду, так и по данным.
Сам криптор (x86_pe_cryptor) имеет модульную структуру:
1)modules/lazy_importer/
Модуль скрытия API из таблицы импорта. Пример использования:
auto base = reinterpret_caststd::uintptr_t(LI_FIND(LoadLibraryA)(kernel32));
LI_GET(base, VirtualFree)(pFile, 0, MEM_RELEASE);
2)modules/murmurhash/
Реализация вычисления хеша murmurhash на ассемблере (FASM, приложен к проекту).
3)modules/trash_gen_module/
Реализация модуля, для генерация случайных инструкций, генерации случаных API винды и получение случайного числа на ассемблере (FASM, приложен к проекту), более подробное описание здесь:https://github.com/XShar/simple_trashe_gen_module
4)modules/xtea/
Реализация алгоритма шифрование xtea на ассемблере (FASM, приложен к проекту).
5)modules/run_pe/
Реализация функции запуска, расшифрованного массива PE-файла в памяти, путем создания процесса.
6)modules/antiemul/
7)modules/metamorph_code/
Функции метаморфинга. Смысл, что при сборки, генерируются функции в случайном порядке, функции берутся в modules/metamorph_code/morph.cpp.
8)modules/simple_mutate_pe/
Функции мутации PE перед запуском.
Характеристики получившегося криптора:
1)Отстутствуют «опасные API» в таблице импорта (Такие-как CreateProcess и т.д.).
2)Имеет антиэмуляцию, направленную на привышение лимитов эмулятора антивирусов:
Выделение памяти 32 мегабайт, копирование туда нашего зверька, потом подсчет хеша этого куска памяти, шифровка/расшифровка этого куска памяти, в качестве ключа наш хеш.Эта-же память используется для размещения запуска зверька.
Получение ключа для расшифровки, следующим образом:
Генерируется массив случаных чисел от 0 до 9, далее генерируется хеш этих чисел, хеш генерируется на основе числа, сгенерированного при создании зашифрованного массива защищаемого файла. Далее сортируется массив от 0 до 9, т.е. в итоге у нас получается хеши от числел 0-9. Отсортированные по порядку, это и будет ключ. В момент генерации ключа, также в случайном порядке генерируется мусор из случайных инструкций и вызовов API.
3)При сборки, в main и в модулях:modules/run_pe/, modules/trash_gen_module/ генерируются функции в случайном порядке, функции берутся в modules/metamorph_code/morph.cpp (На данный момент там функции арифметических операций). Тем самым достигается полиморфность не только данных, но и кода каждого образца.)))
4)Перед запуском происходит мутация запускаемого PE, что позволяет обойти детект в памяти у некоторых антивирусов.
Как работать с криптором:
Есть два проекта в Visual Studio 2017 или более новой:
Для работы необходимо сделать следующее:
1.Переименовать защищаемый файл в «data_protect.exe» и поместить его в shell_gen/Release/
2.Запустить файл shell_gen/Release/shell_gen.exe
3.Собрать проект x86_pe_cryptor в Visual Studio 2017 или более новой.
Всё, в /x86_pe_cryptor/Release/x86_pe_cryptor.exe будет сам криптор.)))
Проект будет обновляться, что планируется:
3)Что-то ещё, в зависимости от активности на форуме.)))
Пошаговое руководство. Создание криптографического приложения
Эта статья относится к Windows.
дополнительные сведения о ASP.NET Core см. в разделе ASP.NET Core Data Protection.
В этом пошаговом руководстве показано, как зашифровать и расшифровать содержимое файла. Пример кода предназначен для приложения Windows Forms. Это приложение не демонстрирует реальные сценарии, такие как использование смарт-карт. Вместо этого оно демонстрирует основные принципы шифрования и расшифровки.
В этом пошаговом руководстве использует следующие правила шифрования:
Используйте класс Aes с симметричным алгоритмом для шифрования и расшифровки данных при помощи автоматически созданных Key и IV.
Если вы хотите защитить данные на компьютере вместо обмена зашифрованным содержимым с другими людьми, рассмотрите возможность использования ProtectedData класса.
В следующей таблице указаны задачи шифрования из этого раздела.
| Задача | Описание |
|---|---|
| Создание приложения Windows Forms | Выводит список элементов управления, необходимых для запуска приложения. |
| Объявление глобальных объектов | Объявляет, что строковые переменные пути CspParameters и RSACryptoServiceProvider имеют глобальный контекст класса Form. |
| Создание асимметричного ключа | Создает асимметричную пару открытого и закрытого пар «ключ-значение» и присваивает ей имя контейнера ключей. |
| Шифрование файла | Отображает диалоговое окно, где можно выбрать шифруемый файл, и шифрует этот файл. |
| Расшифровка файла | Отображает диалоговое окно, где можно выбрать зашифрованный файл, и выполняет расшифровку этого файла. |
| Получение закрытого ключа | Возвращает полную пару ключей при помощи имени контейнера ключей. |
| Экспорт открытого ключа | Сохраняет ключ в XML-файл только с открытыми параметрами. |
| Импорт открытого ключа | Загружает ключ из XML-файла в контейнер ключей. |
| Тестирование приложения | Список процедур для тестирования этого приложения. |
Предварительные требования
Для выполнения этого пошагового руководства требуются следующие компоненты:
Создание приложения Windows Forms
Большинство примеров кода в этом пошаговом руководстве предназначено для использования в качестве обработчиков событий для элементов управления кнопок. В следующей таблице перечислены элементы управления, необходимые для образца приложения, и их имена в соответствии с примерами кода.
| Control | Имя | Текстовое свойство (при необходимости) |
|---|---|---|
| Button | buttonEncryptFile | Шифрование файла |
| Button | buttonDecryptFile | Расшифровка файла |
| Button | buttonCreateAsmKeys | Создание ключей |
| Button | buttonExportPublicKey | Экспорт открытого ключа |
| Button | buttonImportPublicKey | Импорт открытого ключа |
| Button | buttonGetPrivateKey | Получение закрытого ключа |
| Label | label1 | Ключ не задан |
| OpenFileDialog | _encryptOpenFileDialog | |
| OpenFileDialog | _decryptOpenFileDialog |
дважды щелкните кнопки в конструкторе Visual Studio, чтобы создать свои обработчики событий.
Объявление глобальных объектов
Добавьте следующий код как часть объявления класса Form1. Измените строковые переменные для среды и параметров.
Создание асимметричного ключа
Эта задача создает асимметричный ключ, который шифрует и расшифровывает ключ Aes. Этот ключ был использован для шифрования содержимого, и отображает имя контейнера ключей в элементе управления метки.
Добавьте следующий код в качестве обработчика событий Click для кнопки Create Keys ( buttonCreateAsmKeys_Click ).
Шифрование файла
Эта задача включает два метода: метод обработчика событий для Encrypt File кнопки ( buttonEncryptFile_Click ) и EncryptFile метод. Первый метод отображает диалоговое окно для выбора файла и передает имя этого файла во второй метод, который выполняет шифрование.
Зашифрованное содержимое, ключ и вектор инициализации сохраняются в один FileStream, который называется пакетом шифрования.
Метод EncryptFile выполняет следующие действия:
Пакет шифрования использует следующий формат:
Вы можете использовать значения длины ключа и вектора инициализации для определения начальных точек и длин всех частей пакета шифрования, которые затем можно использовать для расшифровки файла.
Добавьте следующий код в качестве обработчика событий Click для кнопки Encrypt File ( buttonEncryptFile_Click ).
Добавьте следующий метод EncryptFile к форме:
Расшифровка файла
Метод Decrypt выполняет следующие действия:
Добавьте следующий метод DecryptFile к форме:
Экспорт открытого ключа
Данная задача имитирует ситуацию, в которой Ольга предоставляет Дмитрию свой открытый ключ, чтобы он мог зашифровывать для нее файлы. Дмитрий и другие лица, имеющие этот открытый ключ, не смогут расшифровать данные, поскольку они не имеют полной пары ключей с закрытыми параметрами.
Добавьте следующий код в качестве обработчика событий Click для кнопки Export Public Key ( buttonExportPublicKey_Click ).
Импорт открытого ключа
Данная задача имитирует ситуацию, в которой Дмитрий загружает ключ Ольги исключительно с открытыми параметрами, чтобы зашифровывать для нее файлы.
Добавьте следующий код в качестве обработчика событий Click для кнопки Import Public Key ( buttonImportPublicKey_Click ).
Получение закрытого ключа
Данная задача имитирует ситуацию, в которой Ольга использует свой закрытый ключ для расшифровки файлов, зашифрованных Дмитрием.
Добавьте следующий код в качестве обработчика событий Click для кнопки Get Private Key ( buttonGetPrivateKey_Click ).
Тестирование приложения
После сборки приложения необходимо выполнить следующие сценарии тестирования.
Создание ключей, шифрование и расшифровка
Шифрование при помощи открытого ключа
Этот сценарий показывает, как шифровать файлы для другого лица при наличии только открытого ключа. Обычно это лицо предоставляет вам только открытый ключ и утаивает закрытый ключ для расшифровки.
Пишем свой криптор на C#.
Привет, black hat kiddies, сегодня мы напишем свой полу-FUD криптор на языке богов (no) C#.
Итак, прежде чем приступить к кодингу, разберём какие варианты крипторов есть:
В нашем случае мы будем писать криптор имея байткод. Приступим.
Первый затяг. Принцип работы нашего криптора. Код стаба.
В решении у нас будет два проекта. Стаб криптора, и сам криптор.
Криптор будет передавать зашифрованные байты стабу, а сам стаб их расшифрует, дропнет файл в рандомную папку, и запустит его. Звучит просто, да и на деле это будет несложно.
Создаём новый консольный проект:
Объявим необходимые юзинги:
И теперь сделаем метод дропа файла в рандом папку и его запуска:
И импортируйте их в проект:
Осталось «собрать» главный метод, и стаб готов. А главный метод выглядит так:
Стаб готов, теперь копируем весь код и создаём txt файл, в который помещаем наш код.
Второй затяг. Пишем GUI.
Создаём новый проект Windows Forms.
В конструкторе добавляем 2 textbox’a, 3 button’a, ну и пару label’ов:
Для кнопки выбора файла создаём диалоговое окно:
Добавим методы шифра, получения рандомной строки, конвертирования массива байтов в строку:
Ну и методы XOR и RC4 такие же.
Для кнопки генерации ключа получаем рандом строку:
Теперь добавляем наш txt с кодом стаба в ресурсы проекта: