- 11 Luglio 2009
- 236
- 0
- Miglior risposta
- 0
In assistenza tecnica ho visto tante persone chiedere un
'crypter non infetto' o un 'binder non infetto'.
Vi spiego perché risulta infetto...quando non lo è affatto (almeno si spera).
I binders/Crypters sono composti da 2 files:
Builder.exe
Stub.exe
a volte Stub.exe non c'è perché è nelle risorse dell'assembly 'Builder.exe'.
Builder.exe si occupa di splittare ed iniettare delle stringhe in Stub.exe
Stub.exe sarebbe il file cryptato di base,vuoto...
non contiene niente,contiene solo l'algoritmo con cui è stato cryptato con la sua password (split) e la chiave di cryptaggio.
Al massimo può contenere del JunkCode (Codice fasullo/inutile che non modifica niente ma serve solo per confondere gli antivirus).
Esattamente questo è il processo che compie:
Stub.exe :
1 textbox
Builder.exe:
1 textbox
1 pulsante
quando scrivete qualcsa in textbox e premete il pulsante builder.exe copia stub.exe e inserisce tramite split delle informazioni,in questo caso una stringa:
builder.exe -> @D3V1L401@Testo@D3V1L401@ -> lo split @D3V1L401@ corrisponde a quello dello stub? ->si: nuovo file con stub.exe con scritta la stringa nella textbox
->no: accesso negato
in ogni caso,li antivirus non possono andare sempre ad estrarre il contenuto dello stub.exe che a volte è impossibile da decryptare ed estrarre il source del trojan/keylogger o qualsiasi cosa sia!
quindi lo stub.exe viene automaticamente bandito dall'antivirus ed identificato come virus!
quando i crypters o binders risultano infetti talvolta è perché è lo stub che è stato detectato dagli antivirus.
(Segnale per cui dovete cambiare crypter...)
(invece di starvi a lamentare,perché non ve ne creato uno voi? !)
'crypter non infetto' o un 'binder non infetto'.
Vi spiego perché risulta infetto...quando non lo è affatto (almeno si spera).
I binders/Crypters sono composti da 2 files:
Builder.exe
Stub.exe
a volte Stub.exe non c'è perché è nelle risorse dell'assembly 'Builder.exe'.
Builder.exe si occupa di splittare ed iniettare delle stringhe in Stub.exe
Stub.exe sarebbe il file cryptato di base,vuoto...
non contiene niente,contiene solo l'algoritmo con cui è stato cryptato con la sua password (split) e la chiave di cryptaggio.
Al massimo può contenere del JunkCode (Codice fasullo/inutile che non modifica niente ma serve solo per confondere gli antivirus).
Esattamente questo è il processo che compie:
Stub.exe :
1 textbox
Builder.exe:
1 textbox
1 pulsante
quando scrivete qualcsa in textbox e premete il pulsante builder.exe copia stub.exe e inserisce tramite split delle informazioni,in questo caso una stringa:
builder.exe -> @D3V1L401@Testo@D3V1L401@ -> lo split @D3V1L401@ corrisponde a quello dello stub? ->si: nuovo file con stub.exe con scritta la stringa nella textbox
->no: accesso negato
in ogni caso,li antivirus non possono andare sempre ad estrarre il contenuto dello stub.exe che a volte è impossibile da decryptare ed estrarre il source del trojan/keylogger o qualsiasi cosa sia!
quindi lo stub.exe viene automaticamente bandito dall'antivirus ed identificato come virus!
quando i crypters o binders risultano infetti talvolta è perché è lo stub che è stato detectato dagli antivirus.
(Segnale per cui dovete cambiare crypter...)
(invece di starvi a lamentare,perché non ve ne creato uno voi? !)