Криптование подменой цифровой подписи, это статья об этом. Самое простое и нечасто встречаемое, почему то на просторах сети. Но у данного способа есть очень большой ряд достоинств, если конечно вы любите вирусологию, так же как я. Здравствуйте! Вот решил запилить авторскую, что бы может кому помочь в этом нелегком деле - вирусописательства. Сразу оговорюсь, я сделал форк скрипта на python, он доступен на github - https://github.com/secretsquirrel/SigThief, а так же собрал его в исполняемый файл программой pyinstaller, что позволит вам не устанавливать на свою машину интерпритатор Python, что бы пользоваться данным скриптом. Но я довел его до ума и снабдил хоть каким то, но интерфейсом, что бы было немного проще и быстрее пользоватьcя. У данной программы есть ряд недостатков, это не полный крипт (хотя у вас не лучше, ребят), но для большинства антивирусов - за самые глаза хватает. Почему? Потому что идет подпись файлов, хоть и поврежденной, но всё же - - цифровой подписью. А если вы к тому же пользуетесь, программами которые виртуализируют ваш вирус в байткоде - наподобие VMProtect, то такая защита будет служить вам хорошую службу. Хотя вы всегда можете предпринять шаги по починке той же подписи, путем использования утилит которые хотя бы исправят контрольную сумму вашего файла - такие как ModifyPE, или же предпринять починку ручками залезая вглубь PE c помощью hex-редактора, но к этому нас судьба не готовила. (сначала - vmprotect, потом подпись, потом ModifyPE.) Итак, предисловие закончено, перейдем поближе к мясу... Посмотрите сначала видео в котором я быстро вам покажу на что способна данная утилита, а потом поговорим о ней поближе. Архив с утилитой: https://cloud.mail.ru/public/3upp/2UD8GSFPX Далее я подробно расскажу вам, как ей нужно пользоваться, если из видео вы ничего так и не поняли. Запускаем бинарный файл "startmenu.exe", и видим такое простое окошко в стиле ASCII art, если кому интересно, то делал его сам и арт и окошко, можно сказать это единственное, что я сделал, но не об этом. Тут есть меню, состоящее из трех пунктов: Украсть подпись - Вам нужно будет указать файл из которого нужно украсть подпись; Поставить подпись - естественно эта функция - ставит подпись на Ваш вирус; Удалить подпись - если ваш вирус был уже кем то подписан, то это действие необходимо. 1) КРАЖА ПОДПИСИ Выбираем пункт 1, нажимаем ENTER: Я решил украсть подпись из этого файла, ввожу его имя, как видите он в ПАПКЕ С ПРОГРАММОЙ: Далее, нужно придумать название для ПОДПИСИ и сохранить её - с расширением - EXE: Все, на этом подпись сохранена в папке: 2) ПОДПИСЬ ВАШЕГО ВИРУСА Я выбрал небольшой бинарник, который завалялся на жестком диске, как видите у него нет подписи! Теперь нужно запустить программу и выбрать второй пункт меню: Тут Вам необходимо будет указать вашу подпись, что Вы украли в пункте 1, у скайпа: Теперь необходимо, указать Ваш ВИРУС, который у меня называется Qt4.exe:oo:: Далее, вводим имя для Вашего вируса с ПОДПИСЬЮ, что бы сохранить его: В итоге получаем: Конечно, получается что цифровая подпись у нас не действительна, потому что она взята из другого файла, но как я уже оговорился в начале, если приложить чуточку усилий, то мы дойдем до неплохих результатов, в частности вам нужно будет просто исправить контрольную сумму в PE. НО ЗАЧЕМ - КОГДА ОНО ИТАК РОБИТ?! :good: Я обычно перехожу в папку с программой и скидываю туда modifype.exe, Контрольная сумма исправляется такой нехитрой коммандой, но к сожалению в десятке оно не работает). Так что результат вам будет неизвестен, потому что я ленивая скотинка: Данную утилиту лично я качал с осзон(не рекламка), чего и вам желаю, можете запустить на виртуалке, или если вы являетесь счастливым обладателем 7ки, сделайте в ней. Зря я переустановил систему... :MULITRI: Вот примерно таких результатов можно добиться в итоге: ДО: ПОСЛЕ: Если будет интересно я могу в следуешей статье побольше времени уделить различным аспектам PE-файлов и способам криптовки, которые знаю. Всем спасибо, надеюсь я с Вами надолго. #МояСТАТЬЯ
Я делаю всё как обычно вроде бы, через значок вставки картинки, вставляю прямые ссылки, даже перезаливал на разные сервисы раза четыре :) Что со мной не так? В редакторе всё правильно отображается... Для теста: