Хочу разобраться в том, как морфить секцию кода или шеллкоды. Я написал генератор мусорный ассемблерных инструкций, используя который, можно сконструировать выполнимый без ошибок код. А как этот код внедрить в секцию .text или перемешать с шеллкодом, не ломая инструкции? В сорсах крипторов я видел, что стаб дизассемблируется, строится какоой-то линейный список (видимо, список инструкций), и затем обрабатывается. Как это точно реализуется?
Да, мне понравилось. Но, допустим, у меня есть шеллкод LoadPE, и я хочу разорвать сигнатуры на нем. Или просто сделать код сложным для анализа. Как мне встроить мусор между инструкциями, не повредив их? Пишу на си, шеллкод тоже на си. Хоть размер и получается больше, но программировать и отлаживать проще.
очевидно же - обфусцировать исходники на Ц , если и код на сях и все остальное. Ибо время низкоуровнего преобразования кода прошло .. сейчас в моде всяко ллвм и прочее
Где можно посмотреть, как делается обфускация уровня исходников? В своих проектах я просто разбавлял код макросами, которые определял как вызов каких-либо WinAPI. Но еще нужно генерировать умный мусор, в котором код будет логически связан.
Для обфускации ты должен предусмотреть в коде: - движок, с вариантами обфускации: 0..255; - модуль рандомного выбора этих вариантов; - переодтчески вызывать этот движок из своего кода. В результате, каждый запуск программы будет генерить рандомный код, с которого не возможно будет снять сигнатуру. Я приводил примеры реализации на других ресурсах, которые ушли в лету..
Z0MBiE's HomePage /\\|/// | ~_ | (- 0o -) _oOOo_ |/ (_) \| _oOOo_ || \ ==- / || \\ /~~~~\ // http://z0mbie.cjb.net z0mbie@i.am (PGP) Тут много вкусняк, правда старых, но для VX http://z0mbie.daemonlab.org/
..а вот нашёл ссыль на старую тему. Правда для доса, но мысля та-же: http://programmersforum.ru/showthread.php?t=295592&page=2
А как применить такую пермутацию для написания полиморфного криптора? До сих пор я писал криптор на основе LoadPE, потому что на функции для реализации инжекта в технике RunPE стоят хуки и все это палится проактивкой, нагрузки кодировал Base64 или Base85 и кидал в ресурсы как строку. А как реализуются стабовые крипторы, которые шифруют секции и внедряют декриптор для расшифровки? Просто "Шифруем от сих до сих" по виртуальным адресам? Что делать с секцией ресурсов?
Что делать с секцией ресурсов? - очевидно же шифровать, оставлять только необходимое иконку манифест криптор это тот же PE вирус но без размножения и с сильным преобразованием секций както сжатие шифрование увеличение размера мусором А где "Бинарный файл и библиотека, которые будут прилагаться к статье"? - если гдето в бекапах есть приатачу скоро
