Crypter gegen Kaspersky UD machen

  • Hey Leute


    ich sitze nun schon einige Tage an meinem ersten Crypter. Es funzt auch alles super, nur ich bekomme die Kaspersky Detection nicht weg.


    Habt ihr das nen Tipp wie ich das Wegbekommen könnte?


    Als Server dient ein Poisen Ivy Server.


    Vielen Dank
    Lg IoNiX

  • Zitat von Steve;18315

    Es wäre mal sinnvoll zu sagen, als was Kaspersky ihn denn erkennt.


    Erstens das, und zweitens: Wie funktioniert dein crypter? Ist er runtime oder scantime detected? API crypting benutzt? Anti HEUR benutzt?


    Wir brauchen mehr infos...


    greetz

  • Zitat von Darkc0der;18322

    Ich hab mal gehört vor jede Funktion ein Sleep(100) Setzten. Is aus irgend nem Blog, kp^^


    Stimmt, das wäre sehr nützlich, weil das Programm dann vor jeder funktion eine zehntel Sekunde pause macht. Das wird den Virenscanner so verwirren, dass er sich sogar selbst deinstalliert.


    Ne mal im Ernst, was solln das bringen? ich glaube ausserdem nicht dass es im sinne des erfinders ist, dass die stub dann n paar sekunden braucht bis sie alles in den RAM geladen hat, weil der Programmierer meinte vor jedes WriteProcessMemory n Sleep zu setzen xD


    greetz

    greetz Nop (ehem. Av0c4d0)
    -Coding & RE


    Einmal editiert, zuletzt von Nop0x90 ()

  • geiler Sarkasmus.


    Aber er meinte ja, dass er es nicht so sicher weiÃ? :)
    Naja was man machen kann ist ein paar Strings vollschreiben dass soll was bringen.


    naja, geht es um das KAV Proaktiv? das ist weil der mekrt, dass dein Troja sich in nen Proccess Injected (erkannt als Invader), oder schon beim scannen?


    das erste wird wohl schwer zu beheben sein.


    und woher weiÃ?t du dass, ich hoffe nicht du uppst es wo oder?


    VOTE 4 SCENE SCANNER

  • Hey Leute, erstmal danke für eure Antworten.


    Ich lade den immer bei NoVirusThanks hoch und schau ob ich es geschafft habe ihn mehr ud zu machen ^^


    Kaspersky erkennt ihn als: HEUR:Backdoor.Win32.Generic


    Detected wird er schon beim Scannen, aber halt nur von Kaspersky.


    Was meinst du mit Strings vollschreiben?


    Vielen Dank!
    Lg IoNiX

  • novirusthanks is sehr sehr sehr ungut, wenn du willst dass das noch länger UD bleibt... HEUR ist schonmal interessant, du wirst warscheinlich anti Heuristic funktionen brauchen


    greetz

  • Du hast "Stub" oder "Server" in deiner Datei. Suche mal mim Hexeditor...




    Du sagst, du spürst die Ohnmacht, denn der Feind ist ach so stark
    Und er will dich niederhalten mit Geschrei durch Bein und Mark
    Mit Verboten und Zensur kann er zwar den Kampf erschweren
    Doch niemals wird ein Richterspruch den freien Geist bekehren.


    Fürchte lieber Deutschlands Untergang als die Reden der Vasallen
    Derer, die der Lüge dienen, denn schon bald werden sie fallen.

  • Spar dir die Strings, das bringt nichts!
    Ich geh mal davon aus du benutzt den VB-Befehl "Split (String, Delimiter)" in der Stub! Probier mal dieses Modul von cobein aus, das hat eine Zeit lang Kaspersky gestealtht, kann dir aber nicht garantieren, dass es immer noch so ist!



    Das umgeht allerdings nicht den ProAktiven Schutz von Kaspersky! ;)

  • So Leute, hab jetzt alles FUD bekommen, aber jetzt mein groÃ?es problem, der gecryptete server ist schrott.


    So was hab ich gemacht:


    Habe einfach diese Function eingebaut:


    So wird Encrypted: Enc.Encode64(XOREncryption(Data, "lol"))
    So wird Decrypted: Enc.Decode64(XOREncryption(File, "lol"))


    Ohne die XOR verschlüsselung läuft alles 1a


    Ich muss irgendwas falsch gemacht haben, aber was?
    Danke ;)