January 11, 2019

Цифровая Подпись Программ или Мини-Криптор

https://t.me/darkside_team
Криптование подменой цифровой подписи, это статья об этом. Самое простое и нечасто встречаемое, почему то на просторах сети. Но у данного способа есть очень большой ряд достоинств, если конечно вы любите вирусологию, так же как я.

Здравствуйте, хацкеры. Вот решил запилить авторскую, что бы может кому помочь в этом нелегком деле - вирусописательства.

Сразу оговорюсь, я сделал форк скрипта на python, он доступен на github - https://github.com/secretsquirrel/SigThief,

а так же собрал его в исполняемый файл программой pyinstaller, что позволит вам не устанавливать на свою машину

интерпритатор Python, что бы пользоваться данным скриптом.

Но я довел его до ума и снабдил хоть каким то, но интерфейсом, что бы было немного проще и быстрее пользоватьcя.

У данной программы есть ряд недостатков, это не полный крипт, но для большинства антивирусов - за самые глаза хватает. Почему? Потому что идет подпись файлов, хоть и поврежденной, но всё же - цифровой подписью.

А если вы к тому же пользуетесь, программами которые виртуализируют ваш вирус в байткоде - наподобие VMProtect, то такая защита будет служить вам хорошую службу.

Хотя вы всегда можете предпринять шаги по починке той же подписи, путем использования утилит которые хотя бы

исправят контрольную сумму вашего файла - такие как ModifyPE, или же предпринять починку ручками залезая вглубь PE c помощью hex-редактора, но к этому нас судьба не готовила.(сначала - vmprotect, потом подпись, потом ModifyPE.)

Итак, предисловие закончено, перейдем поближе...

Архив с утилитой:

https://cloud.mail.ru/public/3upp/2UD8GSFPX

https://drive.google.com/open?id=1hRU7fXobSMVsTQVrmKfpJeBfvG8O3teM

Далее я подробно расскажу вам, как ей нужно пользоваться, если из видео вы ничего так и не поняли.

Запускаем бинарный файл "startmenu.exe", и видим такое простое окошко в стиле ASCII art, если кому интересно, то делал егосам и арт и окошко, можно сказать это единственное, что я сделал, но не об этом.

Тут есть меню, состоящее из трех пунктов:

  1. Украсть подпись - Вам нужно будет указать файл из которого нужно украсть подпись;
  2. Поставить подпись - естественно эта функция - ставит подпись на Ваш вирус;
  3. Удалить подпись - если ваш вирус был уже кем то подписан, то это действие необходимо.

1) КРАЖА ПОДПИСИ

Выбираем пункт 1, нажимаем ENTER:

Я решил украсть подпись из этого файла, ввожу его имя, как видите он в ПАПКЕ С ПРОГРАММОЙ:

Далее, нужно придумать название для ПОДПИСИ и сохранить её - с расширением - EXE:

2) ПОДПИСЬ ВАШЕГО ВИРУСА

Я выбрал небольшой бинарник, который завалялся на жестком диске, как видите у него нет подписи!

Теперь нужно запустить программу и выбрать второй пункт меню:

Тут Вам необходимо будет указать вашу подпись, что Вы украли в пункте 1, у скайпа:

Теперь необходимо, указать Ваш ВИРУС, который у меня называется Qt4.exe:

Далее, вводим имя для Вашего вируса с ПОДПИСЬЮ, что бы сохранить его:

В итоге получаем:

PE.

НО ЗАЧЕМ - КОГДА ОНО ИТАК РОБИТ?!

Я обычно перехожу в папку с программой и скидываю туда modifype.exe,

Данную утилиту лично я качал с осзон(не рекламка), чего и вам желаю, можете запустить на виртуалке, или если вы являетесь счастливым

обладателем 7ки, сделайте в ней. Зря я переустановил систему...

Вот примерно таких результатов можно добиться в итоге:

До:

После: