• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida Crypter Infetto? Builder Infetto? Leggi Qua!

devil401

Utente Medio
Autore del topic
11 Luglio 2009
236
0
Miglior risposta
0
In assistenza tecnica ho visto tante persone chiedere un
'crypter non infetto' o un 'binder non infetto'.
Vi spiego perché risulta infetto...quando non lo è affatto (almeno si spera).
I binders/Crypters sono composti da 2 files:

Builder.exe
Stub.exe

a volte Stub.exe non c'è perché è nelle risorse dell'assembly 'Builder.exe'.

Builder.exe si occupa di splittare ed iniettare delle stringhe in Stub.exe

Stub.exe sarebbe il file cryptato di base,vuoto...
non contiene niente,contiene solo l'algoritmo con cui è stato cryptato con la sua password (split) e la chiave di cryptaggio.
Al massimo può contenere del JunkCode (Codice fasullo/inutile che non modifica niente ma serve solo per confondere gli antivirus).


Esattamente questo è il processo che compie:

Stub.exe :
1 textbox

Builder.exe:
1 textbox
1 pulsante

quando scrivete qualcsa in textbox e premete il pulsante builder.exe copia stub.exe e inserisce tramite split delle informazioni,in questo caso una stringa:

builder.exe -> @D3V1L401@Testo@D3V1L401@ -> lo split @D3V1L401@ corrisponde a quello dello stub? ->si: nuovo file con stub.exe con scritta la stringa nella textbox

->no: accesso negato


in ogni caso,li antivirus non possono andare sempre ad estrarre il contenuto dello stub.exe che a volte è impossibile da decryptare ed estrarre il source del trojan/keylogger o qualsiasi cosa sia!
quindi lo stub.exe viene automaticamente bandito dall'antivirus ed identificato come virus!

quando i crypters o binders risultano infetti talvolta è perché è lo stub che è stato detectato dagli antivirus.

(Segnale per cui dovete cambiare crypter...)


(invece di starvi a lamentare,perché non ve ne creato uno voi? :emoji_relieved:!)
 
Riferimento: Crypter Infetto? Builder Infetto? Leggi Qua!

Grazie delle info =). Comunque se sapessi come farmelo da me lo farei :emoji_relieved: >.< ma non riesco a trovare nemmeno una guida ;).
 
Riferimento: Crypter Infetto? Builder Infetto? Leggi Qua!

lo sto facendo io,che si aggiorna da solo quando rilascio uno stub undetected