Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Runtime, Scantime, RunPE (Verständnisfragen)

- - - - -

  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1
Fr0nz

Fr0nz

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 6 Beiträge
  • 1 Bedankt
  • Windows, Linux

Ich hätte paar Fragen zum Verständis über Runtime,Scantime und der RunPE von Cryptern.

 

Habe das so verstanden das Runtime Crypter so funktionieren:

 

Runtime:

-PE wird verschlüsselt

-Stub wird an der PE angehangen und dient zur späteren Entschlüsselung

-Entry Point wird auf die Stub gesetzt

-Beim Start wird die Datei in den RAM geladen, mit der Stub entschlüsselt und im RAM ausgeführt. Das übernimmt die RunPE in der Stub.

-Ist zur Laufzeit FUD

und Scantime:

-PE wird verschlüsselt

-Stub wird an der PE angehangen und dient zur späteren Entschlüsselung

-Entry Point wird auf die Stub gesetzt

-Beim Start wird die Datei in den RAM geladen, durch die Stub entschlüsselt und direkt auf die HDD gepackt und executed

-Ist vor dem Ausführen FUD

Wäre das so richtig?

 

Runtime wird die PE im RAM ablegen, entschlüsseln und im RAM executen, aber wo wird die Datei anschließend gedroppt?

Scantime wird die PE im RAM ablegen, entschlüsseln und dann auf die Festplatte droppen und ausführen und ist deshalb sofort detected?

 

DIe RunPE sorgt dann für den Runtime Crypter das die PE schließlich im RAM auch executed wird und nicht nur zwischengespeichert?

 

Danke im Vorraus.


Bearbeitet von Fr0nz, 14 March 2017 - 13:52 Uhr.


#2
gr33d

gr33d

    Pentester

  • Premium Member
  • Likes
    169
  • 130 Beiträge
  • 471 Bedankt
  • Android [root]
  • Windows, Linux

Scantime:

 

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt und auf die Festplatte gedroppt

-Von dort aus wird es ausgeführt (system(), createProcess etc.)

 

Runtime:

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt aber nicht auf die Festplatte geschrieben sondern bleibt im Speicher :D

-PeLoader (oder RunPe) läd alle benötigten Librarys

-RunPe macht noch ein paar andere sachen...

-EAX wird auf den Entrypoint gesetzt und das Programm wird gestartet 

 

So in etwa :D

 

Ist zwar alt aber funktioniert immer noch (bei 90% der AVs). 



Thanked by 2 Members:
rat123 , Fr0nz

#3
rat123

rat123

    Member

  • Premium Member
  • Likes
    97
  • 107 Beiträge
  • 31 Bedankt
  • verifiziert

Scantime:

 

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt und auf die Festplatte gedroppt

-Von dort aus wird es ausgeführt (system(), createProcess etc.)

 

Runtime:

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt aber nicht auf die Festplatte geschrieben sondern in den Speicher (VirtualAllocEx)

-PeLoader (oder RunPe) läd alle benötigten Librarys

-RunPe macht noch ein paar andere sachen...

-EAX wird auf den Entrypoint gesetzt und das Programm wird gestartet 

 

So in etwa :D

 

 

Mit VirtualAllocEx schreibst du deine payload nicht in den Speicher, du führst eine Allocation durch bzw änderst die protection in einer virtual address space.

Und btw einfach einen stack-frame builden und moduleentrypoint in EAX setzen und eax callen ist eine alte Geschichte, moderne AV vendors erkennen sowas  :lol:


Bearbeitet von rat123, 14 March 2017 - 15:01 Uhr.

Eingefügtes Bild


#4
Fr0nz

Fr0nz

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 6 Beiträge
  • 1 Bedankt
  • Windows, Linux

Scantime:

 

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt und auf die Festplatte gedroppt

-Von dort aus wird es ausgeführt (system(), createProcess etc.)

 

Runtime:

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt aber nicht auf die Festplatte geschrieben sondern bleibt im Speicher :D

-PeLoader (oder RunPe) läd alle benötigten Librarys

-RunPe macht noch ein paar andere sachen...

-EAX wird auf den Entrypoint gesetzt und das Programm wird gestartet 

 

So in etwa :D

 

Ist zwar alt aber funktioniert immer noch (bei 90% der AVs). 

 

Danke, dann war ich ja soweit auf dem richtigen Weg :)



#5
gr33d

gr33d

    Pentester

  • Premium Member
  • Likes
    169
  • 130 Beiträge
  • 471 Bedankt
  • Android [root]
  • Windows, Linux

Exakt. Wobei du natürlich nicht vergessen darfst, dass Runtime viel mehr ist als einfach nur die Datei im RAM auszuführen.

Wie rat123 auch schon gesagt hat, ist es damit noch lange nicht getan.





  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 30 user(s)


    Blackhook, Born2Hack, Bot4ng, c3rberus, Crowx88, cubik, dev-0, exploitablerootkit, fluffybunny, Fr0nz, Framerater, Freshpolak, gr33d, hacke2010, JonyD, Koffee, Kraenk, Mini Rick, n1nja, nibble nibble, nikita, o0o, PadX18, pwcca, R3s1stanc3, rat123, terratec1991, TuttiFrutti, vitovice, zrty
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.