Release Invisus v1.0 (OLD)
Jag har besämt mig för att släppa en promo/public version av min simpla binder. (Tänk på att detta är min första rel.) Designen är lite mainstream, kände inte för att vara kreativ.

Invisus använder sig utav en XOR kryptering som räcker för att dölja filerna från de flesta och kändaste AV.
(Två stycken obskyra AVs hittade den krypterade filen, men ej stubben. Nod32 och Norton upptäcker inget.)
Bindern laddar ej filerna till minnet utan släpper de direkt till disken.
Stub storleken ligger på ~20kb, använder dock den fula ikonen från VB6, men denna går lätt att byta ut med en resource hacker.
Det finns några begränsningar som skilljer privat/deluxe versionen från public versionen.
Den är inte jättefancy men det skulle vara lite trevligt med lite testare...

Länk: http://www.smoiz.tk/


EDIT: Fixat länken. Ändrat stub size från 20kb till 12kb.


Release Invisus v1.1

Efter att en del användare så flitigt har släppt en del program på sidan så har jag beslutat att släppa den senaste versionen av min binder.

Den har ett par förbättringar sen den förra version:

• Custom drop location
• RC4 encryption (tack marjinz för modulen)
• Snabbare encryption/decryption. Dock så kommer för stora filer bli problem. (Jag testade en fil på 100mb, det funkade men inte rekommenderat.)
• Dold exekvering finns med men jag har inte fått det att funka med alla filer.... än.
• Buildern har blivit bättre, grafiskt och kodmässigt.

Inga stora förändringar, men lite förbättringar här och där. Om ni undrar varför jag inte jobbar mer på den innan jag släpper den beror det på att jag inte har lust.
Jag resonerade helt enkelt: "bättre att släppa en milt förbättrad version som någon kanske uppskattar än att inte släppa något alls".



Länk: http://www.smoiz.tk/


Tack för mig

EDIT2: Uppdaterat länkar, förra sidan stängdes ner.

Verkar naijz Ska testa den sedan när jag kommer hem

Tack!... är ud för alla utom 4 av enligt virustotal

Och när du skannat den på virustotal är den inte UD länge till, gratulerar!

när den scannas på virustotal och nått virusprogram tycker den är skum så skickas den till analys till alla ..!!
d.v.s den kommer att taggas av alla innom kort.

använd denna istället..
hxxp://scanner.virus.org/advanced
där kan du klicka i så den inte distruberas till alla..
dock kan sidan va nere ibland.

Programmet är beroende av en modul som inte medföljer som standard med windows.
Inget större problem att dra ner den modulen från nätet antar jag, men vill du vara på den säkra sidan kan du ju alltid inkludera den med projektet.

Har därmed inte testat den, genomförde dagens testande offline tyvärr.

Kikade lite en XORad fil i stubben...
Stämmer det att varje byte XOR:as med siffran 1?

Det är random mellan typ 1-9. Det är inte tänkt att "super-über-haxxor-proof" bara att lura AV företagen, och tydligen räcker det för att lura de flesta.



Konstigt.... använder en vanlig modul till stub... Vad är det som saknas?

Jaha... Allvarligt talat, tänk igenom detta en gång till.
Det är helt ologiskt...

Förtydligande utav mitt svar:
Varje byte i en fil XOR:as med samma siffra. Denna siffrar är slumpmässig mellan 1-9.
T.ex. Fil 1 XOR:as med 2
Fil 2 XOR:as med 7
etc...

Ok låter bra faktist, bara en sak som jag undrar över;
Hur får stubben reda på vilken siffra som användes för XOR?

PS: VBs RND bör du undvika då den för varje ny instans av applikationen genererar samma sifferföljd, vilket innebär att filerna kommer få en konstant siffra att XORas med.l

Siffran läggs till i slutet utav varje fil, stuben läser av siffrar och dekrypterar... Sjävla siffrar är inte krypterad så det är lätt att räkna ut hur man skall dekryptera filen, men som sagt det fattar inte AV programmen.




Har läst någonstans att Randomize reseedar så man får ny rnd.
När jag använder breaks i Visual Basic så ser jag att det blir nya nummer. Testa att göra typ 2-3 filer se om alla har samma xor siffrar genom alla filer...
Jag får nämligen oftast filer med olika XOR siffror.. Men om det inte funkar för er andra så får jag väl byta teknik, har en backup-plan i huvudet som kommer att användas i privat versionen.

Modulen som saknas är comdlg32.ocx.

För den som inte har comdlg32.ocx på sin dator förler här en guide:

1 Filen hämtas enkelt från hxxp://www.student.nada.kth.se/~d96-ala/parser/download_ocx.htm (kungliga tekniska högskolans server ^^) och läggs i din systemkatalog (oftast C:\Windows\System32).

2 Installera sedan modulen genom att klicka upp kör och skriva "regsvr32.exe comdlg32.ocx" och tryck sen enter.
Du skall få ett meddelande om att DllRegisterServer har lyckats registrera komponenten.

Sen är det bara att sladda vidare med Invisus

Jag lade nyss till comdlg32.ocx i rar filen. Dock så gäller forfarande steg 2 i Seaguls guide.

Förutom missödet med ocxen så tycker jag att programmet var helt okej.
Lurade tillomed mitt Nod som jag litade till 100% på.

Däremot tar ju AV't filen när den packas upp, såvida man inte kan göra något åt det?

Tacksomfan säger jag i alla fall

Litar man på ett antivirus till 100% är man dum.

Jag skulle gissa på att det räcker med att *.ocx'en ligger i samma katalogen som *.exe'n. Bara den finns med att ladda från antingen Current Directory eller System/Windows Directory så borde det inte orsaka problem.

(första posten på swerat på evigheter, grattis p0ke, hurra, hurra, hurra)

p0ke... "ligger i samma katalogen som"? Du umgås för mycket med Vivalla-folket.

Annars så är det väl knappast särskilt imponerande att antivirusen inte hittar bindern? Vore väl snarare jäkligt konstigt om den hittades, eftersom det är bindern antiviruset triggar på, och inte trojanen man bindar (förutom de där två, men det är pga bristfällig kryptering/obfuskering).
Ska väl sätta mig nu i dagarna och kladda ihop en binder i mån av tid. Kan sätta pengar på att antivirusen INTE kommer att hitta de bindade filerna iaf. Att xor:a med ETT tecken är vansinne. Ska man nu nödvändigtvis använda xor så ska man givetvis använda en sträng som man loopar igenom. Har jag ork till det så ska jag implementera en liten överraskning också.

SmoiZ: Härligt att se publika releaser. Det tycker vi om! Bra jobbat.

Är den detekterad? Jag tror NOD32 upptäcker den.

Jo, har fixat en version till med RC4 encryption, förbättrad XOR och allmänna förbättringar men det känns inte lönt att släppa den förrän jag har lagt till fler funktioner och dyl.



Nod32 upptäcker inte den. Dock så kommer filerna att bli upptäckta vid extraktion (om de är det i vanliga fall).

HAH, svårt att undvika när man bor här

Hur ser det ut rent tekniskt? Har den några dependencies alls, eller är den helt standalone? Tänkte så den inte behöver några runtimes till vare sig vc eller vb. Detta är ju bara intressant gällande stub:en givetvis.

Så vitt jag vet så behöver inte stubben några speciella filer.
Om det mot alla odds skulle visa sig att stubben behöver någon ovanlig fil så var goda att raportera detta.

Får man fråga vilket programspråk stub:en är skriven i? Om det är något i t.ex .NET eller Visual Basic så krävs ju runtimes för många datorer.

Tack.

Allt är skrivet i VB6. Har testat stubben i en nyinstallerad XP Pro SP2. Där funkade allt bra, men det är möjligt att de du säger stämmer. :/

Ja, tyvärr så krävs runtimes från vb6 då och det kommer att ställa till problem för de som försöker köra detta på föregångare till xp som inte redan har vb6-runtimes installerade från början. De flesta borde den dock funka på. Minns inte om det var fr.o.m ME eller 2000 som vb6-runtimes började följa med. Tror iaf att det var nåt sådant.

Ok, aja den var ändå tänkt att vara för XP & Vista... =/

EDIT: Flyttat till första post!