Уникальный стаб или крипт может быть создан только при помощи различных ЯП (языков программирования), так как различные компиляторы создают достаточно специфичные данные как в заголовках так и в секциях. Для примера, если взять HelloWorld скомпилированный на VB, на .NET или на C++ - они будут кардинально отличаться друг от друга импортом. Если быть точнее, то использованием различных dll для своей работы. Уникальный стаб или крипт может быть создан только с нуля и при наличии какой-то уникальной идеи в реализации тех или иных техник. Существуют два варианта (которые кардинально отличаются друг от друга) реализации мапинга модуля в памяти PELoader и RunPE RunPE - стабильная вещь и всеядная. Можно закриптовать все что угодно - и это будет работать... Scantime будет прекрасен... но... вот в Runtime - это будет катастрофическая масса детектов. PELoader - в своей реализации сложен и многогранен... в некоторых случаях после крипта, может быть нестабилен и требовать дополнительных специальных реализаций (много зависит от того, какой софт криптуется). В Runtime PELoader показывает в разы лучше себя, чем тот же RunPE - хотя многое зависит от кодовой реализации PELoader'а. Важным аспектом для уникального крипта является (как и для Runtime) антиэмуль - чем мощнее и качественнее антиэмуль в крипте, тем дольше крипт будет FUD. Но, если быть честным, то в крипте должно быть несколько антиэмуляторов, так как одного универсального от всех антивирусов антиэмулятора быть не может. Уникальный крипт - как прекрасно это звучит и какие прекрасные слова, но... Обычно барыги это пишут в маркетинговых целях, чтобы поднять цену на крипт, а крипт с детектами продать за "копейки" (и снять с себя ответственность). Многие, наверное, замечали, что уникальный стаб значительно дороже стоит, а через некоторое время появляется какой-нибудь юзер и начинает рассказывать, как предоставляющий услугу уникального крипта, закриптовал с детектами или детекты появились, когда стаб пролежал день-два и не использовался совсем. Давайте разберемся, почему такое происходит и почему криптующие с многочисленными положительными отзывами через некоторое время не могут закриптовать с полным FUD... (об этом подробнее см. ниже) Чтобы понять, почему не может быть в принципе уникального стаба (скомпилированного при помощи одного компилятора), для этого нужно понять, как антивирусные компании создают детект. У каждой антивирусной компании свое понимание и правила как осуществлять детекты, скажу честно, у каждого антивируса есть свой уникальный (пусть даже мизерный) метод детектить зловредов. Ну, в качестве примера, Avast в большинстве своем случаев использует для детектов версию компилятора (которая находится в заголовке исполняемого файла) и если ее изменить, то существует очень большая вероятность убить детект. Ни у какого другого антивируса подобного нет, а у большинства антивирусов (да практически у всех) для детекта версия компилятора не используется вообще. Поэтому Avast многих начинающих "насилует" сигнатурой Evo-gen... Существует нереально много методов создания детектов. Мы же детекты подведем под одно единственное понимание и разделим условно на четыре группы: light-detect, hard-detect, hell-detect, runtime-detect. light-detect - это простенький детект, основанный на хеш сумме или на каких-то небольших участках данных в файле - такой детект даже не требует чистки, просто создается новый рандомный крипт или стаб. hard-detect - честно сказать, такие детекты создают немногие антивирусы - лидеры ESET NOD32 и Bitdefender, но они очень жестокие бывают и могут зацепить сразу много стабов/криптов. Давайте представим ситуацию, криптующий закриптовал одному человеку и этот чел пошел распространять зловреда, потом закриптовал другому (через некоторое время), потом третьему, а потом, когда закриптовал четвертому... И вот тот первый (потому что он был первый) распространил уже свой закриптованный файл и каким-то образом (неважно каким), этот файл попал на анализ к аверам ESET NOD32 и был создан hard-detect для первого крипта, а детектить он будет сразу у всех четверых... и неважно успел этот четвертый чел распространить свой зловред или он у него просто лежал из-за отсутствия свободного времени - это и есть hard-detect hard-detect - этот детект является основным показателем уникальности стаба или крипта runtime-detect - это когда вы на scantime видите FUD, но стоит запустить зловреда, как антивирус сразу же детектит ваш закриптованный файл. Ну и самый ужасный из всех hell-detect - этот детект создается временно (примерно на месяц) основывается он обычно на минимальных данных в файле, и от него очень сложно избавиться... Как же можно получить такой детект? Для примера, если вы закриптуете зловреда какому-нибудь спамеру. Такой hell-detect создает очень много ложных срабатываний у антивируса, но аверы идут сознательно на такой риск, чтобы предотвратить эпидемии. При этом они hell-detect могут менять для того чтобы уменьшить число ложных срабатываний, но при этом уникальный стаб будет продолжать детектиться. Каким бы не был уникальным крипт или стаб - hell-detect будет его детектить в течение нахождения данного детекта в базах антивируса. многие начинающие, начитавшись древних (как дерьмо мамонта) статей, так сказать реликтов, начинают думать, что тоже смогут написать криптор, но... за это время мир антивирусов изменился и те фичи, которые раньше работали на ура, ну например, антиэмули - сейчас они могут стать причиной детекта. Написать сейчас криптор не проблема, достаточно иметь мизер знаний в каком-нибудь ЯП и найти на github.com многочисленное множество крипторов и создать по их подобию свой, хе-хе, уникальный стаб :D Создать свой GUI (удобный для себя любимого) и можно (Ура!) идти барыжить... Но проблема появится после нескольких прогрузов, да у себя любимого на компе закриптованные файлы не детектились, но когда крипт попадает в огромный мир трафа, аверы начинают быть очень жестокими. И почистить крипт, если на него повесили hell-detect - будет практически невозможно! Остается ждать около месяца, пока они уберут детект или кардинально изменить крипт. К сожалению, для того чтобы описать многие нюансы уникального стаба или крипта, потребуется слишком много написать текста... Больше информации о крипте, можно прочитать из этой темы https://zelenka.guru/threads/972408/ Там вы сможете внимательно ознакомится с публичными тестами криптора, посмотреть на статистику и лицезреть Runtime тесты для некоторых антивирусов. Так же, вы можете прочитать полезную информацию и сделать выводы самостоятельно на основе объективных данных, без маркетинговой пропаганды.
Уникальный стаб или крипт - это временное явление, чем дольше (по времени) осуществляется крипт, и чем большее число людей криптуется у одного крипт-сервиса, тем выше шанс что уникальный стаб будет с 1-2 постоянными детектами. Выше я описал условную классификацию детектов, но временные "адские" детекты - это не единственная проблема для уникального стаба или крипта. Есть еще один злой враг для уникального стаба или крипта - это облачные антивирусы. В облаках сидят индусы, работающие за банан - и это происходит круглосуточно. Представим ситуацию, вы закриптовали свой софт уникальным криптом, но в рантайме сам софт без крипта имеет детекты (особенно это касается паблик софта), но вы решаете рискнуть и распространить вашего засранчика... В надежде, что успеете получить профит... в реале же, ВОЗМОЖНО все будет печально... Софт запускается и runtime-detect неизбежно срабатывает, ну а далее произойдет слив вашего софта в облако - там его дежурный авер проанализирует и быстро создаст light-detect (в течение 30 минут) и все... Перед тем как заказывать дорогой уникальный крипт, обязательно убедитесь, что ваш софт чист в Runtime - иначе вы можете потерять не только на уникальном крипте, но и на трафе, на уязвимости, на CC и т. д. Если у вас есть вопросы по крипту (или вам нужен хороший крипт на долгосрочном сотрудничестве), вы можете спросить об этом у меня в ЛС - я постараюсь ответить на ваши вопросы, если у меня будет достаточно знаний. Все о крипте знать не возможно, так как даже об одном антивирусе можно писать-писать и писать до бесконечности и существует масса нюансов. Но есть также и базовые принципы, о которых я считаю нужно говорить и писать. И я, на основе своего опыта, постараюсь в дальнейшем дополнять эту тему...
UP-UP-UP virustotal.com - это как страшная сказка для детей, но... для хорошего уникального стаба или крипта, не при каких обстоятельствах virustotal.com не может быть проблемой. Если вы собрались покупать уникальный крипт/стаб - то первое, что вы должны сделать, так это потребовать от криптующего scantime с virustotal.com тестового крипта, например, калькулятора. Если криптующий отказывается это сделать, то он пытается продать вам НЕ уникальный стаб или крипт. По сути, он написал про уникальный крипт, в маркетинговых целях... Тестовый FUD scantime с virustotal.com закриптованного калькулятора - является первой гарантией того, что вам продают уникальный стаб или крипт. (вы также будите уверены что 70 антивирусов, ваш закриптованный файл не будут детектит, а не какие-то там нищебродские 22 недо антивируса) Также советую, подождать сутки и попросить сделать rescantime того тестового закриптованного калькулятора и посмотреть по количеству детектов, насколько хорош этот уникальный стаб или крипт, чем меньше этих детектов будет - тем лучше. Давайте детальнее представим кухню virustotal.com, в которой варятся детекты и, гремя крышками кастрюли, сигнализируют нам о подозрительных файлах... virustotal.com - по своей сути, некая такая большая база с сэмплами, к которой нужно иметь доступ... virustotal.com - это посредник, он от пользователя принимает файл для проверки и отсылает его в антивирусную лабораторию, по специальной ссылке, того или иного антивируса. В лаборатории сидит дежурный авер, который проверяет файлы, запуская их на виртуальной машине. (не у всех, обычно у большинства AV virustotal.com не приоритетный поставщик подозрительных файлов) Думаю, наверное, многие замечали такие отчеты со *******ов, которые приходят с таких вот виртуалок в течение нескольких недель. Когда аверы запускают проверяемые файлы на виртуалке, они смотрят, на отчет поведения запущенного файла и если видят что-то подозрительное, то создают сигнатуру. При этом они делают даже не light-detect, а temp-detect... temp-detect - это такой временный детект, его можно очень просто убить ну, к примеру, возьмем avast - avast в основном (для нативного крипта) создает свои сигнатуры базируясь на данных в header (ну, грубо говоря, использует первые 1000 байт в файле) - опять же уточню, что это касается только нативного крипта. Так вот если изменить, например, virtual size у любой секции (увеличив значение) даже 1 байт - детект может исчезнуть. То есть, все вот настолько просто, чтобы избавиться от temp-detect. Далее уже приходит специалист и анализирует подозрительный файл более скрупулезно, и в зависимости от того, что закриптованно и при наличии статистики распространения уже создает ту или иную сигнатуру... Чтобы такого не было, во многих крипторах есть такая фича как anti-VM, anti-Sandbox - если их включать, то это может увеличить продолжительность FUD'а, но также может иметь недостаток при тестировании на виртуальных машинах при проверке на работоспособность закриптованного файла и для проверке на runtime-detect'ы в онлай-сервисах. Вообще virustotal.com не особо и проблема для хорошего уникального крипта, virustotal.com только ускоряет появление детектов и все. Для криптующего нет разницы, был ли создан детект, когда был слит файл каким-нибудь юзером (не важно каким) на virustotal.com или файл попал к антивирусу в лабораторию через облако какой-нибудь "жертвы" - чистить, то все равно надо будет. А вот для паблик крипторов это имеет огромное значение, так как стаб один для всех и чем быстрее он попадет к аверам - тем быстрее он будет весь в красных детектах... и не важно слит он был на virustotal.com или кто-то закриптовал древний софт, который в рантайме детектится всеми антивирусами, или кто-то распространяет зловреда через спам-трафик 1kk, или был закриптован софт, который для аверов является красной тряпкой (ну например, при эпидемиях) - здесь virustotal.com может оказаться меньшей проблемой из всех остальных...
Чтобы понять, почему не может быть в принципе уникального стаба (скомпилированного при помощи одного компилятора), для этого нужно понять, как антивирусные компании создают детект.