Что такое cleo crypter

cleo crypter decrypted что это

Суть программы проста: добавляете в неё файл, она сканирует его на наличие стиллеров и вирусов. Присутствует возможность массовой проверки файлов.

Особенности и возможности:

– Огромная база стиллеров, которая ведется с 2014 года;
– Сканирование файлов с расширениями asi, dll, cleo, sf, cs и многих других;
– Высокая скорость работы утилиты даже при массовой проверке файлов;
– Вывод доступной информации о найденном стиллере в окно программы (создатель, название, тип стиллера);
– Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs;
– Декрипт FuncCrypt от SR_Team и многих других;
– Постоянная поддержка программы.

Стоит отметить, что программа и её разработчики не дает никаких гарантий по поводу нахождения стиллера. Она делает всё возможное и доступное, но не обеспечивает 100%-ю безопасность файла в случае, если вирусов в нём не найдено.

Пояснение о найденных вирусах:

InetLoader – обнаружен скрипт, который может устанавливать интернет соединение. Но это может быть и автообновление скрипта.
CLEO_Stealer[DECRYPTED] – обнаружен CLEO стиллер, файл был распакован, и вы сможете взглянуть на исходник.
CLEO_Crypter[DECRYPTED] – сканер попытался распаковать скрипт, возможно это не получилось или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer – обнаружен CLEO стиллер в открытом виде.
Downloader_stealer – обнаружен файл, который выкачивает вредоносную программу на ваш компьютер.
Stealers_ru – обнаружен стиллер от небезызвестного проекта.
Danger_VMProtect – обнаружена защита, файл может представлять угрозу.

AVPGameProtect | Антивирус для Игр

AVPGameProtect — это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами — возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.
Особенности программы:
— Большая база стиллеров, которая ведется с 2014 года.
— Сканирование asi, dll, cleo, sf, cs и других потенциально опасных файлов.
— Высокая скорость работы при проверке большого количества файлов.
— Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
— Встроенный просмотр найденных файлов в текстовом и hex режимах.
— Поиск троянских программ в ASI файлах GTA SA и GTA 5.
— Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
— Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
— Декрипт FuncCrypt от SR_Team и многих других.
— Постоянная поддержка программы.
Сканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.
Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться.
Некоторые условные обозначения программы:
InetLoader — Внимание! Обнаружен файл, который может устанавливать интернет соединение, следует подумать прежде чем качать. Но это может быть и автообновление скрипта.
CLEO_Stealer[DECRYPTED] — Найден CLEO стиллер, файл был распакован и вы сможете взглянуть на исходник.
CLEO_Crypter[DECRYPTED] — Сканер попытался распаковать скрипт, возможно это не получилось, или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer — Найден CLEO стиллер в открытом виде.
Downloader_stealer — Найден файл, который выкачивает вредоносную программу на ваш компьютер
Stealers_ru — Найден стиллер от небезызвестного проекта
Danger_VMProtect — Найдена защита, файл может представлять угрозу

Оставлять комментарии могут только зарегистрированные пользователи.

Клео криптер? Хм приколюха, проверь на вирустотале.

Если вас не устраивает ответ или его нет, то попробуйте воспользоваться поиском на сайте и найти другие ответы в категории Программирование

Источник

cleo crypter что означает

Суть программы проста: добавляете в неё файл, она сканирует его на наличие стиллеров и вирусов. Присутствует возможность массовой проверки файлов.

Особенности и возможности:

– Огромная база стиллеров, которая ведется с 2014 года;
– Сканирование файлов с расширениями asi, dll, cleo, sf, cs и многих других;
– Высокая скорость работы утилиты даже при массовой проверке файлов;
– Вывод доступной информации о найденном стиллере в окно программы (создатель, название, тип стиллера);
– Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs;
– Декрипт FuncCrypt от SR_Team и многих других;
– Постоянная поддержка программы.

Стоит отметить, что программа и её разработчики не дает никаких гарантий по поводу нахождения стиллера. Она делает всё возможное и доступное, но не обеспечивает 100%-ю безопасность файла в случае, если вирусов в нём не найдено.

Пояснение о найденных вирусах:

InetLoader – обнаружен скрипт, который может устанавливать интернет соединение. Но это может быть и автообновление скрипта.
CLEO_Stealer[DECRYPTED] – обнаружен CLEO стиллер, файл был распакован, и вы сможете взглянуть на исходник.
CLEO_Crypter[DECRYPTED] – сканер попытался распаковать скрипт, возможно это не получилось или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer – обнаружен CLEO стиллер в открытом виде.
Downloader_stealer – обнаружен файл, который выкачивает вредоносную программу на ваш компьютер.
Stealers_ru – обнаружен стиллер от небезызвестного проекта.
Danger_VMProtect – обнаружена защита, файл может представлять угрозу.

Первый и единственный настоящий криптор для CLEO-скриптов.
Предназначен для шифрования кода скрипта, защиты от декомпиляции и любых изменений.
Программа абсолютно бесплатна и имеет следующий функционал:
— Моментальное шифрование всего кода без возможности декомпиляции.
— Создание копии оригинала скрипта.
— Возможность добавить некоторую информацию в тело скрипта после шифрования (автора, контакты, сайт и пр.).

Без этого закриптованый скрипт работать не будет!
После чего, чтобы закриптовать скрипт программе нужно указать скомпилированный скрипт, нажатием кнопки «OPEN» или просто переместив скрипт в окно программы.
Затем, нажать кнопку «ENCRYPT» — скрипт защищён.
Внимание! Обязательно сохраняйте исходный код скрипта, либо создавайте резервную копию — для этого служит галочка «MAKE BACKUP».
По желанию в скрипт можно добавить читабельную текстовую информацию, для этого её нужно ввести в окно «Additional info».

Файл является эксклюзивом сайта, как и написанный выше текст, при копировании материала (или любой его части) следует указать ссылку на источник.

GameModding.Net совместно с LibertyCity.Ru представляют новую программу анти-стиллер для поиска вредоносных программ в игровых модификациях GTA San Andreas и GTA5.

Программа разрабатывается с 2014 года и её изначальное предназначение — облегчить проверку файлов, приходящих на модерацию, на безопасность. Программа не предназначалась для использования её в общем доступе, но обстоятельства в сфере быстрого и стремительного развития вредоносных компонентов в игровых модификациях заставила нас пересмотреть взгляды. Наконец мы решились представить программу общественности и выложить специальную версию в публичный доступ, назвав её «User Build».

AVPGameProtect — это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами — возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.

Кроме того, из особенностей программы можно выделить:

* Обширную базу стиллеров, которая ведется с 2014 года и по сей день.
* Высокую скорость работы при проверке большого количества файлов.
* Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
* Встроенный просмотр найденных файлов в текстовом и hex режимах.
* Поиск угроз в файлах с замаскированным расширением.
* Поиск троянских программ в ASI файлах GTA SA и GTA 5.
* Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
* Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
* Декрипт FuncCrypt от SR_Team и многих других.
* Постоянная поддержка программы.

Cканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.

Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться. Просьба скачивать программу ТОЛЬКО С ОФИЦИАЛЬНЫХ ИСТОЧНИКОВ!

Программа распространяется свободно. Огромная просьба указывать ОФИЦИАЛЬНЫЕ ИСТОЧНИКИ при распространении анти-стиллера (указаны ниже).

Если Вы обнаружили стиллер, который не выявляет программа, просьба прислать его разработчику на электропочту: smalloff@gamemodding.net

smalloff — разработка, поддержка проекта.
andre500 — тестирование, поддержка проекта.

Источник

cleo crypter decrypted что это

Суть программы проста: добавляете в неё файл, она сканирует его на наличие стиллеров и вирусов. Присутствует возможность массовой проверки файлов.

Особенности и возможности:

– Огромная база стиллеров, которая ведется с 2014 года;
– Сканирование файлов с расширениями asi, dll, cleo, sf, cs и многих других;
– Высокая скорость работы утилиты даже при массовой проверке файлов;
– Вывод доступной информации о найденном стиллере в окно программы (создатель, название, тип стиллера);
– Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs;
– Декрипт FuncCrypt от SR_Team и многих других;
– Постоянная поддержка программы.

Стоит отметить, что программа и её разработчики не дает никаких гарантий по поводу нахождения стиллера. Она делает всё возможное и доступное, но не обеспечивает 100%-ю безопасность файла в случае, если вирусов в нём не найдено.

Пояснение о найденных вирусах:

InetLoader – обнаружен скрипт, который может устанавливать интернет соединение. Но это может быть и автообновление скрипта.
CLEO_Stealer[DECRYPTED] – обнаружен CLEO стиллер, файл был распакован, и вы сможете взглянуть на исходник.
CLEO_Crypter[DECRYPTED] – сканер попытался распаковать скрипт, возможно это не получилось или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer – обнаружен CLEO стиллер в открытом виде.
Downloader_stealer – обнаружен файл, который выкачивает вредоносную программу на ваш компьютер.
Stealers_ru – обнаружен стиллер от небезызвестного проекта.
Danger_VMProtect – обнаружена защита, файл может представлять угрозу.

AVPGameProtect | Антивирус для Игр

AVPGameProtect — это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами — возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.
Особенности программы:
— Большая база стиллеров, которая ведется с 2014 года.
— Сканирование asi, dll, cleo, sf, cs и других потенциально опасных файлов.
— Высокая скорость работы при проверке большого количества файлов.
— Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
— Встроенный просмотр найденных файлов в текстовом и hex режимах.
— Поиск троянских программ в ASI файлах GTA SA и GTA 5.
— Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
— Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
— Декрипт FuncCrypt от SR_Team и многих других.
— Постоянная поддержка программы.
Сканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.
Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться.
Некоторые условные обозначения программы:
InetLoader — Внимание! Обнаружен файл, который может устанавливать интернет соединение, следует подумать прежде чем качать. Но это может быть и автообновление скрипта.
CLEO_Stealer[DECRYPTED] — Найден CLEO стиллер, файл был распакован и вы сможете взглянуть на исходник.
CLEO_Crypter[DECRYPTED] — Сканер попытался распаковать скрипт, возможно это не получилось, или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer — Найден CLEO стиллер в открытом виде.
Downloader_stealer — Найден файл, который выкачивает вредоносную программу на ваш компьютер
Stealers_ru — Найден стиллер от небезызвестного проекта
Danger_VMProtect — Найдена защита, файл может представлять угрозу

Оставлять комментарии могут только зарегистрированные пользователи.

Клео криптер? Хм приколюха, проверь на вирустотале.

Если вас не устраивает ответ или его нет, то попробуйте воспользоваться поиском на сайте и найти другие ответы в категории Программирование

Источник

cleo crypter что означает

Суть программы проста: добавляете в неё файл, она сканирует его на наличие стиллеров и вирусов. Присутствует возможность массовой проверки файлов.

Особенности и возможности:

– Огромная база стиллеров, которая ведется с 2014 года;
– Сканирование файлов с расширениями asi, dll, cleo, sf, cs и многих других;
– Высокая скорость работы утилиты даже при массовой проверке файлов;
– Вывод доступной информации о найденном стиллере в окно программы (создатель, название, тип стиллера);
– Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs;
– Декрипт FuncCrypt от SR_Team и многих других;
– Постоянная поддержка программы.

Стоит отметить, что программа и её разработчики не дает никаких гарантий по поводу нахождения стиллера. Она делает всё возможное и доступное, но не обеспечивает 100%-ю безопасность файла в случае, если вирусов в нём не найдено.

Пояснение о найденных вирусах:

InetLoader – обнаружен скрипт, который может устанавливать интернет соединение. Но это может быть и автообновление скрипта.
CLEO_Stealer[DECRYPTED] – обнаружен CLEO стиллер, файл был распакован, и вы сможете взглянуть на исходник.
CLEO_Crypter[DECRYPTED] – сканер попытался распаковать скрипт, возможно это не получилось или не найден вредоносный код. Смотрите исходник в папке temp.
CLEO_Stealer – обнаружен CLEO стиллер в открытом виде.
Downloader_stealer – обнаружен файл, который выкачивает вредоносную программу на ваш компьютер.
Stealers_ru – обнаружен стиллер от небезызвестного проекта.
Danger_VMProtect – обнаружена защита, файл может представлять угрозу.

Первый и единственный настоящий криптор для CLEO-скриптов.
Предназначен для шифрования кода скрипта, защиты от декомпиляции и любых изменений.
Программа абсолютно бесплатна и имеет следующий функционал:
— Моментальное шифрование всего кода без возможности декомпиляции.
— Создание копии оригинала скрипта.
— Возможность добавить некоторую информацию в тело скрипта после шифрования (автора, контакты, сайт и пр.).

Без этого закриптованый скрипт работать не будет!
После чего, чтобы закриптовать скрипт программе нужно указать скомпилированный скрипт, нажатием кнопки «OPEN» или просто переместив скрипт в окно программы.
Затем, нажать кнопку «ENCRYPT» — скрипт защищён.
Внимание! Обязательно сохраняйте исходный код скрипта, либо создавайте резервную копию — для этого служит галочка «MAKE BACKUP».
По желанию в скрипт можно добавить читабельную текстовую информацию, для этого её нужно ввести в окно «Additional info».

Файл является эксклюзивом сайта, как и написанный выше текст, при копировании материала (или любой его части) следует указать ссылку на источник.

GameModding.Net совместно с LibertyCity.Ru представляют новую программу анти-стиллер для поиска вредоносных программ в игровых модификациях GTA San Andreas и GTA5.

Программа разрабатывается с 2014 года и её изначальное предназначение — облегчить проверку файлов, приходящих на модерацию, на безопасность. Программа не предназначалась для использования её в общем доступе, но обстоятельства в сфере быстрого и стремительного развития вредоносных компонентов в игровых модификациях заставила нас пересмотреть взгляды. Наконец мы решились представить программу общественности и выложить специальную версию в публичный доступ, назвав её «User Build».

AVPGameProtect — это программа, помогающая в поиске вредоносных файлов в игровых модификациях. Главная особенность программы перед другими анти-стиллерами — возможность массовой проверки, т.е Вы можете просканировать абсолютно любые файлы и в любом их количестве, достаточно перенести нужные файлы или папку с файлами в окно программы и дождаться результатов сканирования.

Кроме того, из особенностей программы можно выделить:

* Обширную базу стиллеров, которая ведется с 2014 года и по сей день.
* Высокую скорость работы при проверке большого количества файлов.
* Вывод информации о стиллере в окне программы (тип стиллера или ник разработчика).
* Встроенный просмотр найденных файлов в текстовом и hex режимах.
* Поиск угроз в файлах с замаскированным расширением.
* Поиск троянских программ в ASI файлах GTA SA и GTA 5.
* Поиск функционала для взаимодействия с интернетом, или скачивания файлов.
* Проверка CLEO-скриптов на наличие стиллера (не всех, только с известными программе крипторами). Декриптованный скрипт появится в папке temp, в корневой папке программы под именем decrypt.cs
* Декрипт FuncCrypt от SR_Team и многих других.
* Постоянная поддержка программы.

Cканер не предназначен для проверки установщиков и игровых сборок, а также для полного сканирования ПК. Для сканирования необходимо извлечь папку или файлы из архива и перетащить их в программу.

Также стоит отметить, что программа не защищает пользователей на все 100%. Как и любой другой анти-стиллер, она предназначена лишь для выявления известных ей стиллеров, а дальнейшее решение об использовании того или иного мода лежит непосредственно на Вас и автор не несёт ответственности за ВАШИ решения. Программа будет постоянно обновляться. Просьба скачивать программу ТОЛЬКО С ОФИЦИАЛЬНЫХ ИСТОЧНИКОВ!

Программа распространяется свободно. Огромная просьба указывать ОФИЦИАЛЬНЫЕ ИСТОЧНИКИ при распространении анти-стиллера (указаны ниже).

Если Вы обнаружили стиллер, который не выявляет программа, просьба прислать его разработчику на электропочту: [email protected]

smalloff — разработка, поддержка проекта.
andre500 — тестирование, поддержка проекта.

Источник

Что такое cleo crypter

Фреймворк криптора/протектора с антиэмуляцией

На самом деле много людей интересуется протекторами и вирусными технологиями. Кто-то хочет заработать, кто-то хочет повысить скилл в кодинге, кому-то просто это нравится и считается, что это своего вроде исскуство.)

Тем не менее, с момента основания ресурса ru-sfera.org, люди пишут мне с вопросами, хорошо-бы если был-бы какой-то проект, так-сказать каркас, что-то взять за основу. Да, есть готовые проекты, но они либо устарели, либо имеют слишком сложную структуру, либо имеют существенные недостатки, об этом ниже.

Так-как неизвестно-кто будет этим проектом пользоваться и кто прочитает эту статью, начнем с небольшего ликбеза.)

Очень нравится, что про это дело говорил Вазонез (До ухода в реал):

Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами.

Крипторы можно разделить на 2 вида: хорошие и дерьмовые:

Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы.

При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.

Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла.

Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу еб*** и многочисленности авторов таких творений, мы не будем отрываться от стаи.

Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается.

Антивирусы эволюционируют, появились новые технологие защиты (А именно детекты по поведению, детекты по репутации и т.д.), в частноти против крипторов появилась технология сканирования процессов, если вкратце, то антивирус либо сразу перед созданием процесса, либо через какое-то время сканирует процесс.

Тем самым понятно, даже если обойти эмулятор антивируса и сигнатурный детект, мы попадем под детект процесса.

Менять технологию скрытия детекта, вот следующие решения:

Шифровать и скрывать критичные функции в коде (Например шеллы и т.д.), после расшифровки и запуска такой функции, если использовать антиэмуляцию, антивирус ничего сделать несможет.)

Морфить код, если вкратце, это самомодификация кода на лету (Данный метод реализован в этом крипторе).

Честно я так и думал, до недавнего времени, но это несовсем так:

Во первых если у вас есть даже зверек без детекта, его неплохо-бы скрыть от реверсера, к тому-же почти все детектится сейчас автоматикой, в таком случае в большинстве случаев робот задетектит сам криптор, по хешу, или не по хешу, но чем сложнее будет реверсеру, тем больше вероятность, что сам троянчик будет дольше жить.

Во вторых не все антивирусы детектят код в памяти, например виндовый дефендер как-то криво с этим работает.

Некоторые антивирусы дают запустить процесс на пару секунд, а этого и может хватит кстати.)))

С лекбезом закончили, на форуме есть темы для глубокого изучения вопроса:

Теперь про конкретный проект, что он делает:

Поэтому решил я сделать проект, где-бы сам криптованный зверек размещался-бы в дата-секции, т.е. есть программа (я назвал её shell_gen), которая из бинарного файла, делает пошифрованный массив байт и в общем-то больше ничего не делает.)

Далее уже второй проект (Сам криптор), работает с этим массивом данных, т.е. расшифровывает этот массив, делает антиэмуляцию, запускает.

Для достижения метаморфизма, shell_gen генерирует заголовочный файл, со следующими дефайнами:

#define START_MORPH_CODE 5

#define END_MORPH_CODE 14

На основе этих значений при сборки, генерируется «мусорный код» (Математичесие операции и т.д.), который будет случайным, после каждого вызова shell_gen и сборки.

Тем самым код будет разный, как по коду, так и по данным.

Сам криптор (x86_pe_cryptor) имеет модульную структуру:

1)modules/lazy_importer/

Модуль скрытия API из таблицы импорта. Пример использования:

auto base = reinterpret_caststd::uintptr_t(LI_FIND(LoadLibraryA)(kernel32));

LI_GET(base, VirtualFree)(pFile, 0, MEM_RELEASE);

2)modules/murmurhash/

Реализация вычисления хеша murmurhash на ассемблере (FASM, приложен к проекту).

3)modules/trash_gen_module/

Реализация модуля, для генерация случайных инструкций, генерации случаных API винды и получение случайного числа на ассемблере (FASM, приложен к проекту), более подробное описание здесь:https://github.com/XShar/simple_trashe_gen_module

4)modules/xtea/

Реализация алгоритма шифрование xtea на ассемблере (FASM, приложен к проекту).

5)modules/run_pe/

Реализация функции запуска, расшифрованного массива PE-файла в памяти, путем создания процесса.

6)modules/antiemul/

7)modules/metamorph_code/

Функции метаморфинга. Смысл, что при сборки, генерируются функции в случайном порядке, функции берутся в modules/metamorph_code/morph.cpp.

8)modules/simple_mutate_pe/

Функции мутации PE перед запуском.

Характеристики получившегося криптора:

1)Отстутствуют «опасные API» в таблице импорта (Такие-как CreateProcess и т.д.).

2)Имеет антиэмуляцию, направленную на привышение лимитов эмулятора антивирусов:

Выделение памяти 32 мегабайт, копирование туда нашего зверька, потом подсчет хеша этого куска памяти, шифровка/расшифровка этого куска памяти, в качестве ключа наш хеш.Эта-же память используется для размещения запуска зверька.

Получение ключа для расшифровки, следующим образом:

Генерируется массив случаных чисел от 0 до 9, далее генерируется хеш этих чисел, хеш генерируется на основе числа, сгенерированного при создании зашифрованного массива защищаемого файла. Далее сортируется массив от 0 до 9, т.е. в итоге у нас получается хеши от числел 0-9. Отсортированные по порядку, это и будет ключ. В момент генерации ключа, также в случайном порядке генерируется мусор из случайных инструкций и вызовов API.

3)При сборки, в main и в модулях:modules/run_pe/, modules/trash_gen_module/ генерируются функции в случайном порядке, функции берутся в modules/metamorph_code/morph.cpp (На данный момент там функции арифметических операций). Тем самым достигается полиморфность не только данных, но и кода каждого образца.)))

4)Перед запуском происходит мутация запускаемого PE, что позволяет обойти детект в памяти у некоторых антивирусов.

Как работать с криптором:

Есть два проекта в Visual Studio 2017 или более новой:

Для работы необходимо сделать следующее:

1.Переименовать защищаемый файл в «data_protect.exe» и поместить его в shell_gen/Release/

2.Запустить файл shell_gen/Release/shell_gen.exe

3.Собрать проект x86_pe_cryptor в Visual Studio 2017 или более новой.

Всё, в /x86_pe_cryptor/Release/x86_pe_cryptor.exe будет сам криптор.)))

Проект будет обновляться, что планируется:

3)Что-то ещё, в зависимости от активности на форуме.)))

Источник