4 Antworten in diesem Thema

[Fr0nz]

Ich hätte paar Fragen zum Verständis über Runtime,Scantime und der RunPE von Cryptern.

 

Habe das so verstanden das Runtime Crypter so funktionieren:

 

Runtime:

-PE wird verschlüsselt

-Stub wird an der PE angehangen und dient zur späteren Entschlüsselung

-Entry Point wird auf die Stub gesetzt

-Beim Start wird die Datei in den RAM geladen, mit der Stub entschlüsselt und im RAM ausgeführt. Das übernimmt die RunPE in der Stub.

-Ist zur Laufzeit FUD

und Scantime:

-PE wird verschlüsselt

-Stub wird an der PE angehangen und dient zur späteren Entschlüsselung

-Entry Point wird auf die Stub gesetzt

-Beim Start wird die Datei in den RAM geladen, durch die Stub entschlüsselt und direkt auf die HDD gepackt und executed

-Ist vor dem Ausführen FUD

Wäre das so richtig?

 

Runtime wird die PE im RAM ablegen, entschlüsseln und im RAM executen, aber wo wird die Datei anschließend gedroppt?

Scantime wird die PE im RAM ablegen, entschlüsseln und dann auf die Festplatte droppen und ausführen und ist deshalb sofort detected?

 

DIe RunPE sorgt dann für den Runtime Crypter das die PE schließlich im RAM auch executed wird und nicht nur zwischengespeichert?

 

Danke im Vorraus.

Bearbeitet von Fr0nz, 14 March 2017 - 13:52 Uhr.

[gr33d]

Scantime:

 

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt und auf die Festplatte gedroppt

-Von dort aus wird es ausgeführt (system(), createProcess etc.)

 

Runtime:

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt aber nicht auf die Festplatte geschrieben sondern bleibt im Speicher

-PeLoader (oder RunPe) läd alle benötigten Librarys

-RunPe macht noch ein paar andere sachen...

-EAX wird auf den Entrypoint gesetzt und das Programm wird gestartet 

 

So in etwa

 

Ist zwar alt aber funktioniert immer noch (bei 90% der AVs). 

[rat123]

Scantime:

 

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt und auf die Festplatte gedroppt

-Von dort aus wird es ausgeführt (system(), createProcess etc.)

 

Runtime:

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt aber nicht auf die Festplatte geschrieben sondern in den Speicher (VirtualAllocEx)

-PeLoader (oder RunPe) läd alle benötigten Librarys

-RunPe macht noch ein paar andere sachen...

-EAX wird auf den Entrypoint gesetzt und das Programm wird gestartet 

 

So in etwa

 

 

Mit VirtualAllocEx schreibst du deine payload nicht in den Speicher, du führst eine Allocation durch bzw änderst die protection in einer virtual address space.

Und btw einfach einen stack-frame builden und moduleentrypoint in EAX setzen und eax callen ist eine alte Geschichte, moderne AV vendors erkennen sowas 

Bearbeitet von rat123, 14 March 2017 - 15:01 Uhr.

[Fr0nz]

Scantime:

 

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt und auf die Festplatte gedroppt

-Von dort aus wird es ausgeführt (system(), createProcess etc.)

 

Runtime:

-Payload ist in verschlüsselter Form in der Stub gespeichert (Resource, char array etc.)

-Payload wird entschlüsselt aber nicht auf die Festplatte geschrieben sondern bleibt im Speicher

-PeLoader (oder RunPe) läd alle benötigten Librarys

-RunPe macht noch ein paar andere sachen...

-EAX wird auf den Entrypoint gesetzt und das Programm wird gestartet 

 

So in etwa

 

Ist zwar alt aber funktioniert immer noch (bei 90% der AVs). 

 

Danke, dann war ich ja soweit auf dem richtigen Weg

[gr33d]

Exakt. Wobei du natürlich nicht vergessen darfst, dass Runtime viel mehr ist als einfach nur die Datei im RAM auszuführen.

Wie rat123 auch schon gesagt hat, ist es damit noch lange nicht getan.