Чистка стаба

Предыдущие сообщения
28 февраля 2013
#1 Gringo uid#3451
{Это не наглий копипаст, за опорную точку взята статья VaZoNeZ`а}

Begin

Сегодня в сети полно малвари, прям на любой вкус и цвет. Всё до безобразия просто: гуглишь-->качаешь-->точишь под себя, что делать с этим добром дальше решать тебе. Но тут как и у всех историях есть одно но и это но это злобные антивирусы(АВ). На помощь приходят крипторы но и они со временем начинают палится, соответственно всё то что ими криптовано тоже попадает в сигнатурные базы. Но наверняка каждый слышал о чистке стаба. В связи с этим решил написать статейку как чистить стаб, быстро и без лишних телодвижений. Для примера я покопался в инете и нашел Porta Crypter pass: XakFor.Net, первое что я сделал это просканил на Jotti стаб криптора.

Отчет сканирования:

15/20 результат мягко говоря не очень. Ну что ж поехали:

  1. Берем тулзень SignDetect v0.5//низкий тебе уклон VaZoNeZ


    • Infected file: кликаем по кнопке напротив и открываем зараженный файл.
    • Folder for cleaned files: кликаем по кнопке напротив и выбираем папку для выхода очищенных файлов.
    • Кликаем по кнопке Get EP диапазон в поля Range (HEX) подставится автоматически.
    • Bytes to write что бы вычислить количество байт которые следует дописать надо правое значение Range (HEX) отнять левое и разделить на 20 результат должен составить не меньше 128 байт, если у тебя получилось меньше следует указать 2 байта. У моём случае (92609-88513)/20=204,8. Как перевести шестнадцатерычные числа в десятичные - погуглите.
    • Отрубаем АВ если такой присутствует.
    • Жмакаем по кнопке Start.
    • Ждем. Курим. Пъём пивко.
  2. Благо долго ждать не пришлось, теперь валим в папку очищенных файлов натравлеваем озверевшего АВ на эту папку. Ждем. Курим. Пъём пивко. Дожидаемся окончания снанирования. Удаляем все зараженные файлы после скана.
  3. Теперь у нас два пути:
    • Для ленивых (преимущество простота, недостаток - вероятность что запалит больше АВ.)
      Тут все просто, валим в папку очищенных файлов и берём с оставшихся файлов любой попавшийся. Если закрыли то опять открываем SignDetect закидаем стаб в прогу и кликаем по клавише AutoClean и в поле offset вбиваем имя витянутого нами файла с папки у меня Clear stub и выбираем Cleaning mode (способ очистки): Writing To The End (дописать в конец) или Section Adding (добавить секцию) жмакаем по клавише Clean, в папке где лежал стаб появляется файл Имя_cleaned. Важно учесть факт что один из способов очистки может сделать стаб нерабочим, но что бы это узнать надо попробовать, так что экспериментируйте.
    • Пример:

      Отчет сканирования:

      И так 7/20 не полный fud но уже хоть что то.
    • Для любителей криптовать руками (превосходство меньшее количество озлоблених АВ, недостаток - знание ассемблера (минимальное) и хоть какое то умение юзать OllyDbg)

И так поехали: для начала нам нужно открыть наш стаб в шестнадцатиричном редакторе WinHex вполне подойдёт и найти в нем offset совпадающий с именем ощиченого файла.

Пример:

Дальше открываем ollydbg закидаем стаб туда и ищем совпадение байт выделеных на картинке, что бы упростить задачу жмакаем Ctrl+B и вбиваем последовательность из 8-ми байт и кликаем по Search.

Пример:

В итоге:

Теперь ассемблерные команды соответствующие этому коду нам нужно перенести в другое место (прогнав ползунок ниже можно увидеть поле нолей) сюда мы и будем вставлять наш код, на место кода который перенесём прыжок на новое место кода и в конце вставленого кода ещё один прижок (jmp от слова jump) на код который сразу идёт за тем что мы "вырежем". Все эти действия направлены на то что бы стаб не потерял своей работоспособности. Инструкцию 4165FF трогать не будем так как видно что с неё происходит короткий прыжок на инструкцию 416614, а вот инструкции 416601, 416602, 416603, 416606 "вырезаем" и размещаем почти в самом низу.

Делается это довольно просто, кликаем по соответствуещей инструкции и жмакаем Space и Ctrl+C и таким образм поочереди переносим вниз. Вставлять аналогично Space и Ctrl+V. В самом низу ставим прыжок наверх на 416601. Сверху ставим прыжок на 481FCB, а три последующие инструкции забиваем Nop`ами (ПКМ-->Edit-->Fill with NOPs), делается это для того что бы проходить мимо (не выполнять команды).

Ну осталось самое малое ПКМ-->Edit-->Copy to executable, ПКМ-->Save file-->Указываем имя и сохраняем. Ну и момент истины, беру екзешник и гружу на скан, вот результат:

6/20

Не скажу что я остался доволен, но это повод работать дальше и в будущем дописать статью. Всем спасибо, всем пока.

02:40:05 7
#2 atom uid#2722 спс за статью, давно пытался, но не получалось, сейчас попробую 05:59:37 0
#3 nagibator uid#3515 Хорошая статья. Новичкам поможет. 09:27:33 0
#4 MyP3uk uid#1395 Бред. Простой джамп ничего не даст, максимум сутки-двое, не больше.
Почитайте лучше криса касперски "Секреты маскировки", намного содержательнее, а это херня.
10:45:31 1
#5 Gringo uid#3451
Бред. Простой джамп ничего не даст, максимум сутки-двое, не больше.
Почитайте лучше криса касперски "Секреты маскировки", намного содержательнее, а это херня.
А часто больше и не надо плюс способ не сложный.
11:39:49 2
#6 click uid#3128 ИМХО для разового использования пойдет 16:05:04 0
#7 sharap uid#4059 Гринго спасибо помог 16:31:14 0
5 марта 2013
#8 click uid#3128 сделал стиллер с ufr, загрузил на этот же сайт для проверки... Каспер ничего не нашел! 11:57:48 0
#9 Gringo uid#3451 click, у каспера такая эвристика что когда сканит файл то говорит что чист, а при попытке запустить ругает. Ищи сигнатуры по которым палит. 12:17:40 0
7 января 2017
#10 bars00707 uid#8538 гавно полнейшее ваш способ во первых антивирус удаляет все отсеянные файлы ,второе пробывал другим антивирусом чистить оставил парочку файлов но после их вставки криптор не работает !!!!!!!!!!!!!! способ для лохов 09:48:01 0
#11 sermax uid#6072
гавно полнейшее ваш способ во первых антивирус удаляет все отсеянные файлы ,второе пробывал другим антивирусом чистить оставил парочку файлов но после их вставки криптор не работает !!!!!!!!!!!!!! способ для лохов
Ты на дату создания темы посмотри , ясен хрен что не работает...
21:47:54 0
Следующие сообщения
*Ник: Проверка уникальности... Если вы уже зарегистрированы, авторизуйтесь.
*Сообщение:
  Загрузка...