Crypter Handbook
Crypter Handbook
Crypter Handbook
com
MANUEL DE CRYPTAGE
Les crypteurs sont des programmes créés pour "obscurcir" (cacher) le code
source d'un fichier. Ils peuvent chiffrer le code binaire d'un fichier avec un
algorithme de chiffrement comme DES, AES... Vous pouvez en apprendre plus à
ce sujet sur wikipedia.
RazorCrypt
Je pense que je ne t'ai pas appris grand chose en disant ça, mais maintenant
on va apprendre encore des choses sur ces crypteurs, et surtout : la théorie à
faire soi-même !
COMMENT FONCTIONNE UN CRYPTEUR
Interface graphique du chiffrement : C'est l'interface du crypteur, avec toutes les options
etc...
Bout: C'est la partie qui est générée par le chiffreur et qui sert à déchiffrer la
charge utile lors de son exécution. C'est une partie du fichier crypté final, mais
il n'est pas crypté lui-même.
Signature virale : Partie du code binaire d'un fichier qui est détectée par
un antivirus.
Donc, maintenant on peut voir la base d'un crypteur avec ce dessin explicatif de moi :
Pour résumer : la charge utile est chiffrée par le chiffreur et
compilée avec le stub, qui déchiffrera la source chiffrée et
l'exécutera (runtime) ou la stockera (scantime).
Ok, maintenant que vous connaissez la théorie du fonctionnement d'un crypteur, vous
pouvez commencer à gérer votre espace de travail. C'est le nouveau chapitre de ce livre.
CRÉEZ VOTRE PROPRE CRYPTEUR
Afin de créer votre propre crypteur, vous devez savoir certaines choses : la
première fonctionnalité des crypteurs est de crypter les fichiers pour contourner les
AV, donc si votre Stub est détecté par les AV comme une menace, votre crypteur ne
sera plus un "crypteur" car il être détecté.
Pour éviter cela, vous devez savoir ce qui suit :
- Vous devrez essayer votre crypteur souvent sur les pages d'analyse MultiAV
pour voir s'il est indétectable, le problème est que certains de ces sites Web
d'analyse distribuent votre fichier aux sociétés de l'AV.
Alors n'essayez pas vos fichiers cryptés sur VirusTotal ou tout ce que vous avez
trouvé sur google après une simple recherche, utilisez :
- http://Pscan.xyz
- http://NoDistribute.org
- Votre propre AV peut distribuer des copies de vos stubs, car il est sur
votre ordinateur, si vous ne savez pas qu'il serait inutile de créer un
crypteur.
Il vous faudra désactiver cette fonction sur votre antivirus, je vous laisse
chercher sur google :) (ici c'est pour avira)
De nos jours, le scantime est inutile, car chaque AV peut arrêter votre charge utile
lorsqu'il est exécuté, donc je vais vous apprendre à créer votre propre crypteur
Runtime.
La fonction principale d'un stub d'exécution est laRunPE fonction. Vous aurez besoin de
cette fonction pour chaque crypteur d'exécution que vous créez à moins que quelqu'un (ou
vous) ait trouvé un autre moyen de contourner les AV dans la RAM.
RunPE est une fonction qui crée un processus en mémoire pour votre
programme ou injecte simplement votre programme dans un processus
existant. Dans notre exemple ci-dessus, la fonction RunPE est la fonction
"Execute", qui lit le binaire et l'exécute en RAM.
- AutoIT : est très facile à apprendre et assez bon pour les crypteurs
parce que vous avez de nombreux tutoriels, sources et quelques
bonnes fonctions existantes.
- vb.net : chaque crypteur existant est écrit en vb.net (Pas "tous" mais au moins
la plupart d'entre eux), c'est assez facile à apprendre.
Je ne vous donnerai pas de sources, vous devriez simplement chercher par vous-même
si vous le voulez vraiment, mais je pense que vous devriez réfléchir un peu pour
apprendre. Et vous savez, la meilleure sensation au monde est de terminer votre
premier crypteur fonctionnel, même s'il est totalement détecté, car une fois que vous
avez cette base, vous pouvez ajouter ce que vous voulez pour faire de votre crypteur
FUD, ce qui nous amène au partie suivante :
FABRIQUER VOTRE CRYPTER FUD
Une fois que vous avez terminé votre premier crypteur de base, c'est UD : indétectable mais
pas FUD.
Afin de rendre votre crypteur FUD vous avez quelques options à ajouter à
votre crypteur :
- Code indésirable
- Talon aléatoire
- Talon privé
- etc...
1) Code indésirable :
Le code indésirable est comme le nom dit "code non-sens" à ajouter à votre
talon. Souvent, vous devrez créer un script qui crée des chaînes aléatoires, des
fonctions, des variables, des appels, etc... Ce code ne changera pas le fonctionnement
de votre programme mais ajoutera du code supplémentaire à analyser pour les AV
(code normal, qui n'est n'est pas détecté par AV et semble être légitime)
Voici un exemple:
Vous pouvez voir qu'il y a
des variables (l.1),
fonctions etc... avec
noms aléatoires. Ils
sont absurdes.
2) Changeur d'informations et d'icônes
3)pare-chocs de fichier
Un pare-chocs de fichier fait passer votre fichier à un certain nombre de Ko. Parfois, cela aide à
contourner les AV.
4)Stub aléatoire
Une fois que vous avez fait cela, il est possible que certains AV détectent toujours
votre RunPE. Pour éviter cela, vous devez les randomiser : en créant des noms de
variables aléatoires, des noms de fonctions etc...
Changez tout ce que vous pouvez changer avec une fonction qui randomise
votre module RunPE.
Ok, maintenant que vous avez votre crypteur, peut-être FUD ou non, vous devriez lui
ajouter quelques fonctionnalités.
FONCTIONNALITÉS DU CRYPTEUR
Retard : Vous pouvez ajouter un délai avant l'exécution de votre script. Cela
permet de contourner les détections d'exécution de certains AV et de leurs bacs
à sable intégrés.
Analyse anti-mémoire : Une autre façon de contourner la détection d'exécution est l'analyse
anti-mémoire, qui refuse l'accès au processus dans lequel votre fichier est en cours d'exécution.
FEO : Pour éviter la corruption de fichiers, vous devrez parfois conserver la "Fin de
fichier". Alors ajoutez-le !
De gauche à droite : Un moyen simple de créer une autre extension pour vous.
fichier exe.
Classeur : Fonction très utile, qui vous permet de lier votre fichier
crypté avec un autre, comme un jpg.
Boîte de messagerie personnalisée : Je vous laisse deviner de quoi il s'agit. C'est une simple
msgBox à l'exécution de votre fichier.
Une fois que votre crypter est FUD vous avez gagné !
Si votre crypteur n'est plus FUD, ne vous inquiétez pas, il ne faut pas longtemps pour
reFUD votre crypteur, changez simplement certaines choses et essayez des choses ! Ça va
marcher.
FIN
TOS : cet e-Book est uniquement à des fins d'apprentissage, ne faites pas d'activités illégales
choses.
Je ne suis en aucun cas responsable de ce que vous faites avec cet e-
livre.
La redistribution ou la copie de cet e-book est interdite.
Pas de remboursement.