EBFE's Merger&Encrypter

  • die fertige Version des vorgestellten Binders/Crypters.

    Getestet mit XP SP2/3 und Vista SP1 (32 bit).


    Btw:
    Gestriger VT Scan ergab 0 von 40 ;)



    Zusammenfassung: das "Target" wird in den "Host" eingefügt.
    Dazu noch eine polymorphe/generierte Codeinjection gemacht, so dass der Host es auch startet.
    Nebeneffekte: manche Exen sind partout nicht miteinander kompatibel.
    Bei manchen hilft das herumspielen mit den Optionen (links).
    Bei einigen lässt sich beobachten, dass das Target erst beim Schlie�?en des Hosts gestartet
    wird (hängt mit TLS Callback aufrufen zusammen - das lässt sich nicht so gut beeinflussen).
    Unter Vista sollte man noch beachten, dass sowohl Target/Host in einem für den User schreib/ausführbaren
    Ordner liegen.
    Und ja, polymorph hei�?t hier wirklich polymorph ;). Nicht weil der Anhang mit einem anderen Passwort verschlüsselt wird und sich deswegen auch unterscheidet, sondern weil jedesmal sowohl der Junkcode wie die Decryption generiert werden (unterschiedliche Speicherstellen, Register, Stacknutzung usw).
    weiteres siehe das manual.pdf im manual.zip


    Passwort:
    Regeln: keine Weitergabe (geschweige denn Weiterverkauf) au�?erhalb SC.


    MD5:
    EBFEmd.exe 103cc2ae700491c1dd8c7d8ae020f3ee
    manual.pdf e01908488881555f0adcd5168d1fb348

  • So, update. Weils so schön ist:
    Vollversion für alle (siehe erstes Posting).
    Als "ggl" bitte ein paar ausführliche Test-Feedbacks. Möglichst kein "mein BIFI/FOO geht dann nicht!!!" ;)

  • Füge zum Titel Public ein bevor ein Kiddy noch anfängt zu verkaufen und ein Label noch am besten wo auch steht Public weil Titel kann man ja leicht ändern mit ResHack.


    Ansonsten gute Arbeite. Stub Size *in love*

  • Was du alles in ASM Programmieren kannst ist echt der Wahnsinn.
    Wohl einer der erfahrensten User im Board... weiter so :)


    (Auch wenn dafür nicht wirklich eine Verwendung habe schau ichs mir mal an :) )

    Signatur entfernt, da ich mich für mein eigenes Board schämen muss - Syler


    [RIGHT]Antw.: Danke und die Verwarnung drückt nur deine Hilfslosigkeit über die Aktion aus. Du bistkein guter Admin. Tut mir Leid.
    [/RIGHT]

  • So, bin dem tipp von alexej gefolgt ((wobei Reshack hier nicht viel bringen würde, weil das Dialog als DLGTEMPLATE "direkt" im Code deklariert wurde :D (an die Strings kommt man natürlich trotzdem) )
    steve : die Exe selbst ist mit Mew gepackt. Keinerlei API usw. Obfocusation (wozu auch?)
    und ist 6KB groÃ?.


    Au�edem wundert es micht, wie Outpost schon beim Download an den Inhalt kommt, da die ZIP ja passwortgeschützt ist ;)

  • Joa eben, genau das hat mich auch gewundert.


    EDIT: Eben nochmal versucht. Diesmal kam keine Warnung. kA was da mit Outpost los war ^^

    <p>Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren.</p>

  • Ich wundere mich das du die 1. Datei nicht encryptest... Also auf Manual Packing Art.




    Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
    Und er will dich niederhalten mit Geschrei durch Bein und Mark
    Mit Verboten und Zensur kann er zwar den Kampf erschweren
    Doch niemals wird ein Richterspruch den freien Geist bekehren.


    Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
    Derer, die der Lüge dienen, denn schon bald werden sie fallen.

  • Zitat von Slayer616;17813

    Ich wundere mich das du die 1. Datei nicht encryptest... Also auf Manual Packing Art.


    Ja, wozu eigentlich? Das "Target" wird ja komplett verschlüsselt im "Host" aufbewahrt. Wenn man da noch mit EP-Verschiebung usw rumhantiert, bringt das imho auch nicht viel, au�er zusätzliche Fehlerquellen.


    Und "Host" wird bewusst nicht verändert, weil das ja eine "normale" Datei ist ;)

  • Funktioniert alles soweit, auch wenn ich das Design jetzt nicht so den Renner finde, aber darauf kommt es auch nicht so an.

    [SIZE=1]&quot;\x68\x6e\x2r\x73\x68&quot; // push dword 68732f6eh
    &quot;\x68\x2f\x2f\x62\x69&quot; // push dword 69622f7fh[/SIZE]

  • Mir gefällt das minimalistische daran.
    Macht genau was es soll und fertig.


    Ich weiss nur nicht ob es so intelligent ist ein so mächtiges Werkzeug public zu stellen. Jetzt muss man jeden Scheiss den man sich zieht erstmal in einer VM testen.
    (sollte es wirklich so gut wie undetectable sein).


    //Okay jetzt ists eh zu spät. Die ersten Nullposter warn schon am leechen

    Signatur entfernt, da ich mich für mein eigenes Board schämen muss - Syler


    [RIGHT]Antw.: Danke und die Verwarnung drückt nur deine Hilfslosigkeit über die Aktion aus. Du bistkein guter Admin. Tut mir Leid.
    [/RIGHT]

  • Zitat von interNode;17828

    Mir gefällt das minimalistische daran.
    Macht genau was es soll und fertig.


    Ich weiss nur nicht ob es so intelligent ist ein so mächtiges Werkzeug public zu stellen. Jetzt muss man jeden Scheiss den man sich zieht erstmal in einer VM testen.
    (sollte es wirklich so gut wie undetectable sein).


    //Okay jetzt ists eh zu spät. Die ersten Nullposter warn schon am leechen


    Ja da hast du Recht.
    Hab gestern mal mit EBFE über das Teil gesprochen und es is echt sehr gut durchdacht und man kann es eigendlich schon metamorph nennen. Dank TLS Callback wird die Stub noch vor dem Entrypoint ausgeführt. Das macht das analysieren noch gefährlicher, wenn man nicnt weiss, wie man vorgehen muss.
    Da die Stub ja zu über 70% würde ich mal sagen aus per Zufall generiertem Junk Code besteht, können die AVs auch nicht so mal eben Signaturen setzen. Sogar Decryptroutinen sehen bei dem Crypter immer anders aus.


    Im Gro�en und Ganzen also ein sehr mächtiges Tool.
    Ich bin jetzt schon gespannt wie die AVs das Teil erkennen wollen ;)

    [CENTER]Aktuelles Projekt:

    Status: 5%
    Real Coder doesn't code Visual Basic. Real Coder codes Opcodes.[/CENTER]

  • Hey, super Arbeit! Habe schon erfolgreich mit paar Programmen getestet. Was nicht klappt ist OllyDbg und die cracked Version vom Trojka (Builder). Liegt wohl am TLS, denn wenn ich das TLS anlasse, startet nur Olly und wenn ich die Tables neu anlegen lasse, startet nur der Trojka xD

  • OllyDbg hat selber TLS ;). Wenn man es als Host nutzen will, muss die "new TLS Directory " Option angemacht werden.


    Btw: Kompatibilität schon gepackter/protecteter Exen ist natürlich recht gering ;)