Keine Antworten in diesem Thema

[o0o]

Ich habe da mal wieder was gebastelt, diesmal einen simplen Crypter, welche eine PE im selben Prozess ausführt, welche mittels der AES-NI instructions entschlüsselt wird. (

Please Login HERE or Register HERE to see this link!

)

 

Der Vorteil ist ein sehr kleiner Entschlüsselungscode und damit potentiell auch eine kleine Stubsize (auch wenn ich mir keine Mühe gegeben habe, in diesem Code die Executablegröße zu minimieren) und vor allem,  weil  es eben Prozessorinstruktionen sind, Code Emulation von AVs potentiell ins Leere laufen könnte.

 

Wie man das ganze  builded steht im Readme.

 

Ich habe nicht besonders viel Malware und wegen eines lahmen Computers auch nicht viel Spaß an VMs um selbige zu testen, aber zumindest meine Tests mit den Nirsoft Tools waren immer FUD.

 

Wie üblich habe ich mir das nicht alles selber ausgedacht, credits gehen wieder an zwclose7 für den PE loader code und an acopala für die AES-Ni macros und Funktionen (

Please Login HERE or Register HERE to see this link!

)

 

Für einen wirklich "professionellen" Einsatz ist das Ganze wohl auch noch nicht geeignet, weil die AES NI Instructions erst auf Prozessoren verfügbar sind, die jünger als ca. 2010 sind. Was natürlich viele sind, aber längst nicht alle; gerade in Büros und Behörden. 

 

 

Source: 

Please Login HERE or Register HERE to see this link!