[..] Decrypter et lancer programme exécutable

[Tlem]

@Ghost911
Une DLL n'est pas un exécutable !
Elle contient une ou plusieurs fonctions qui peuvent être appelée(s) depuis un exécutable.
Il faudra donc qu'il code non pas en AutoIt, mais qu'il crée cette DLL (et là ce n'est pas le même langage).

Seulement il faudra que de toute manière il 'pilote' cette DLL à partir d'un exécutable ... Donc on revient au départ.

De plus il faudra bien d'un manière ou d'une autre charger cette DLL en mémoire et donc avec la méthode de cryptage, c'est pas gagné.

[Ghost911]

j'ai un début de script que j'ai écrit le programme le plus simplement possible si sa peut aider ^^ mais il n'est pas complet il et a modifier et à compléter par contre le execute marche pas lien : http://rapidshare.com/files/156507840/crypter.rar.html

► Afficher le texte

Code : Tout sélectionner

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Compression=4
#AutoIt3Wrapper_Run_Obfuscator=y
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include-once
#include "AES.au3"
#include <GUIConstants.au3>
#NoTrayIcon
#Region ### START Koda GUI section ### Form=C:\Program Files\koda 2008\koda 2008\Forms\test crypter.kxf
$Form1 = GUICreate("Crypter .exe by ghost911", 381, 150, 193, 125 ,-1, BitOR($WS_EX_ACCEPTFILES,$WS_EX_WINDOWEDGE))
$input=GUICtrlCreateInput("", 16, 40, 345, 21)
GUICtrlSetState(-1, $GUI_DROPACCEPTED)
$Button1 = GUICtrlCreateButton("Crypter", 104, 88, 139, 25, 0)
$MenuItem2 = GUICtrlCreateMenu("Fichier")
$MenuItem3 = GUICtrlCreateMenuItem("Quitter", $MenuItem2)
$MenuItem1 = GUICtrlCreateMenu("?")
GUISetState(@SW_SHOW)
#EndRegion ### END Koda GUI section ###

$comp = @Compiled
If $comp == 1 Then
Else
    Exit
EndIf

$gui="Crypter .exe by ghost911"
$fichcrypter = @ScriptDir&"\crypt.aes"
$fichdecrypt = @ScriptDir&"\decrypt.au3"
$pe= "4D5A"
While 1
    $nMsg = GUIGetMsg()
    Switch $nMsg
        case $Button1
            $guiread = GUICtrlRead ($input)
            if $guiread <> "" Then
                $open = FileOpen ($guiread,16)
                If $open = -1 Then
                    MsgBox(0,$gui, "Impossible d'ouvrir le fichier !")
                    Exit
                EndIf
                $key = "0x"&crypt ()
                $read = FileRead ($open)
                    If StringLeft(StringReplace ($read,"0x",""),4) <> $pe Then
                        MsgBox(0,$gui, "Ce fichier n'est pas une application Win32 valide !")
                        Exit 
                    Else
                    EndIf
                $aes=_AesEncrypt($key,$read,Default,Default)
                FileDelete ($fichcrypter) 
                FileWrite ($fichcrypter,$aes)
                FileDelete ($fichdecrypt) 
                $s = BinaryToString ("0x22")
                FileWriteLine ($fichdecrypt,"#include "&$s&"AES.au3"&$s)
                FileWriteLine ($fichdecrypt,"#include "&$s&"resources.au3"&$s)
                FileWriteLine ($fichdecrypt,"#Region ;**** Directives created by AutoIt3Wrapper_GUI ****")
                FileWriteLine ($fichdecrypt,"#AutoIt3Wrapper_Compression=4")
                FileWriteLine ($fichdecrypt,"#AutoIt3Wrapper_UseUpx=n")
                FileWriteLine ($fichdecrypt,"#AutoIt3Wrapper_Res_Language=1036")
                FileWriteLine ($fichdecrypt,"#AutoIt3Wrapper_Run_After=ResHacker.exe -add %out%, %out%,crypt.aes,rcdata,test1,0")
                FileWriteLine ($fichdecrypt,"#AutoIt3Wrapper_Run_Obfuscator=y")
                FileWriteLine ($fichdecrypt,"#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****")
                FileWriteLine ($fichdecrypt,"#NoTrayIcon")
                FileWriteLine ($fichdecrypt,"$comp = @Compiled")
                FileWriteLine ($fichdecrypt,"If $comp == 1 Then")
                FileWriteLine ($fichdecrypt,"Else")
                FileWriteLine ($fichdecrypt,"Exit")
                FileWriteLine ($fichdecrypt,"EndIf")
                FileWriteLine ($fichdecrypt,"$decrypt=_AesDecrypt"&"("&$s&$key&$s&", _ResourceGetAsString("&$s&"test1"&$s&"),Default"&")")
                FileWriteLine ($fichdecrypt,"execute"&"("&"$decrypt"&")")
                ;FileWriteLine & le code pour mettre ton .exe en mémoire
            Else
                MsgBox (0,$gui,"Aucun fichier a crypter ! ")
            EndIf
        
        Case $MenuItem3
            Exit
        Case $GUI_EVENT_CLOSE
            Exit
    EndSwitch
WEnd

Func crypt()
$Characters = StringSplit("1234567890ABCDEF", "")
$SerialNumber = ""
For $X = 1 To 10
    For $I = 1 To 1
        $SerialNumber &= $Characters[Random(1, 16, 1)]
    Next
    If $X <> 5 Then $SerialNumber &= ""
Next
Return $SerialNumber
EndFunc

Edit : Pour que le script fonctionne, il vous faudra le compiler sinon sa ne marchera pas et d'y faire glisser l'exe de votre choix dans l'input.

[fanatick]

J'ai trouvé ca , et si quelqun pouvait nous aider à les utiliser ca serait sympa car sa m'interesse aussi merci.

► Afficher le textele code

Code : Tout sélectionner

#region _Mem()

Func _MemOpen($i_Pid, $i_Access = 0x1F0FFF, $i_Inherit = 0)
    Local $av_Return[2] = [DllOpen('kernel32.dll') ]
    Local $ai_Handle = DllCall($av_Return[0], 'int', 'OpenProcess', 'int', $i_Access, 'int', $i_Inherit, 'int', $i_Pid)
    If @error Then
        DllClose($av_Return[0])
        SetError(1)
        Return 0
    EndIf
    $av_Return[1] = $ai_Handle[0]
    Return $av_Return
EndFunc;==>_MemOpen

Func _MemWrite($ah_Mem, $i_Address, $v_Inject)
    Local $av_Call = DllCall($ah_Mem[0], 'int', 'WriteProcessMemory', 'int', $ah_Mem[1], 'int', $i_Address, 'ptr', DllStructGetPtr($v_Inject), 'int', DllStructGetSize($v_Inject), 'int', '')
    Return $av_Call[0]
EndFunc;==>_MemWrite

Func _MemClose($ah_Mem)
    Local $av_Ret = DllCall($ah_Mem[0], 'int', 'CloseHandle', 'int', $ah_Mem[1])
    DllClose($ah_Mem[0])
    Return $av_Ret[0]
EndFunc;==>_MemClose

Func _MemCreate($1, $2 = 0, $3 = 0, $4 = 0, $5 = 0, $6 = 0, $7 = 0, $8 = 0, $9 = 0, $10 = 0, $11 = 0, $12 = 0, $13 = 0, $14 = 0, $15 = 0, _
        $16 = 0, $17 = 0, $18 = 0, $19 = 0, $20 = 0, $21 = 0, $22 = 0, $23 = 0, $24 = 0, $25 = 0, $26 = 0, $27 = 0, $28 = 0, $29 = 0, _
        $30 = 0, $31 = 0, $32 = 0, $33 = 0, $34 = 0, $35 = 0, $36 = 0, $37 = 0, $38 = 0, $39 = 0, $40 = 0, $41 = 0, $42 = 0, $43 = 0, _
        $44 = 0, $45 = 0, $46 = 0, $47 = 0, $48 = 0, $49 = 0, $50 = 0, $51 = 0, $52 = 0, $53 = 0, $54 = 0, $55 = 0, $56 = 0, $57 = 0, _
        $58 = 0, $59 = 0, $60 = 0, $61 = 0, $62 = 0, $63 = 0, $64 = 0, $65 = 0, $66 = 0, $67 = 0, $68 = 0, $69 = 0, $70 = 0, $71 = 0, _
        $72 = 0, $73 = 0, $74 = 0, $75 = 0, $76 = 0, $77 = 0, $78 = 0, $79 = 0, $80 = 0, $81 = 0, $82 = 0, $83 = 0, $84 = 0, $85 = 0, _
        $86 = 0, $87 = 0, $88 = 0, $89 = 0, $90 = 0, $91 = 0, $92 = 0, $93 = 0, $94 = 0, $95 = 0, $96 = 0, $97 = 0, $98 = 0, $99 = 0)
    If IsString($1) Then
        $1 = StringSplit($1, '')
        Local $v_Helper = DllStructCreate('byte[' & UBound($1) & ']')
        For $i = 1 To UBound($1) - 1
            DllStructSetData($v_Helper, 1, Asc($1[$i]), $i)
        Next
    Else
        Local $v_Helper = DllStructCreate('byte[' & @NumParams & ']')
        For $i = 1 To @NumParams
            DllStructSetData($v_Helper, 1, Eval($i), $i)
        Next
    EndIf
    Return $v_Helper
EndFunc;==>_MemCreate

Func _MemRev($v_DWORD)
    If UBound($v_DWORD) = 4 Then Return '0x' & Hex($v_DWORD[3], 2) & Hex($v_DWORD[2], 2) & Hex($v_DWORD[1], 2) & Hex($v_DWORD[0], 2)
    Local $v_Ret[4] = ['0x' & StringMid(Hex($v_DWORD, 8), 7, 2), '0x' & StringMid(Hex($v_DWORD, 8), 5, 2), '0x' & StringMid(Hex($v_DWORD, 8), 3, 2), '0x' & StringMid(Hex($v_DWORD, 8), 1, 2) ]
    Return $v_Ret
EndFunc;==>_MemRev

Func _MemAlloc($ah_Mem, $i_Size, $i_Address = 0, $i_AT = 4096, $i_Protect = 0x40)
    Switch @OSVersion
        Case "WIN_ME", "WIN_98", "WIN_95"
            $av_Alloc = DllCall($ah_Mem[0], 'int', 'VirtualAlloc', 'int', $i_Address, 'int', $i_Size, 'int', BitOR($i_AT, 0x8000000), 'int', $i_Protect)
        Case Else
            $av_Alloc = DllCall($ah_Mem[0], 'int', 'VirtualAllocEx', 'int', $ah_Mem[1], 'int', $i_Address, 'int', $i_Size, 'int', $i_AT, 'int', $i_Protect)
    EndSwitch
    Return $av_Alloc[0]
EndFunc;==>_MemAlloc

Func _MemFree($ah_Mem, $i_Address)
    Switch @OSVersion
        Case "WIN_ME", "WIN_98", "WIN_95"
            $av_Free = DllCall($ah_Mem[0], 'int', 'VirtualFree', 'int', $i_Address, 'int', 0, 'int', 0x8000)
        Case Else
            $av_Free = DllCall($ah_Mem[0], 'int', 'VirtualFreeEx', 'int', $ah_Mem[1], 'int', $i_Address, 'int', 0, 'int', 0x8000)
    EndSwitch
    Return $av_Free[0]
EndFunc;==>_MemFree

Func _MemText($ah_Mem, $s_Text)
    Local $i_Size = StringLen($s_Text) + 1
    Local $i_Addr = _MemAlloc($ah_Mem, $i_Size)
    _MemWrite($ah_Mem, $i_Addr, _MemCreate($s_Text))
    Return $i_Addr
EndFunc;==>_MemText

#endregion

;open
$h_Open = _MemOpen(@AutoItPID)

;allocate & write text
$i_Text = _MemRev(_MemText($h_Open, "Example Of Flow Contorol"))
$i_Title = _MemRev(_MemText($h_Open, "My Title"))

;alloc code 
$i_Alloc = _MemAlloc($h_Open, 19)

;open the plugin
$h_Plugin = PluginOpen('AU3_Plugin.dll')

;get offset of messagebox
$h_Mbox_handle = MemLoadLib("user32.dll", "MessageBoxA")
$h_Mbox_offset = _MemRev(@extended)

#cs
10001093      6A 00                       PUSH 0
10001095      68 44332211                 PUSH 11223344
10001097      68 44332211                 PUSH 11223344
1000109C      6A 00                       PUSH 0

10001093      B8 44332211                 MOV EAX,11223344
10001098      FFD0                        CALL NEAR EAX
1000109A      C3                          RETN
#ce

_MemWrite($h_Open, $i_Alloc, _MemCreate(    0x6A, 0x00, _
                                            0x68, $i_Title[0], $i_Title[1], $i_Title[2], $i_Title[3], _
                                            0x68, $i_Text[0], $i_Text[1], $i_Text[2], $i_Text[3], _
                                            0x6A, 0x00, _
                                            0xB8, $h_Mbox_offset[0], $h_Mbox_offset[1], $h_Mbox_offset[2], $h_Mbox_offset[3], _
                                            0xFF, 0xD0, _
                                            0xC3  ))

;execute our alloced code
MemExecute($i_Alloc)

;tell windows that it doesnt need to keep the user32.dll in our memory for us
MemFreeLib($h_Mbox_handle)

;close the plugin
PluginClose($h_Plugin)

;restore original
_MemFree($h_Open, _MemRev($i_Text))
_MemFree($h_Open, _MemRev($i_Title))
_MemFree($h_Open, $i_Alloc)
_MemClose($h_Open)

Ainsi que cette udf : http://www.autoitscript.com/forum/index ... st&id=6757

[Tlem]

Je rêve ...

Sur le forum Anglais, on vous dit que ce n'est pas possible.
Sur le forum Français, on vous dit que ce n'est pas possible.
Et vous continuez malgré tout !

Avant de vous lancer dans certaines directions, apprenez comment fonctionne un ordinateur (je parle en interne bien sur) et un système d'exploitation (architecture).

Bon courage dans vos recherches à la quête du saint Graal.

[fanatick]

Je rêve ...

Sur le forum Anglais, on vous dit que ce n'est pas possible.
Sur le forum Français, on vous dit que ce n'est pas possible.
Et vous continuez malgré tout !

Avant de vous lancer dans certaines directions, apprenez comment fonctionne un ordinateur (je parle en interne bien sur) et un système d'exploitation (architecture).

Bon courage dans vos recherches à la quête du saint Graal.

A quoi sert la fonction meme create alors? Donc wouter invente ainsi que le developper pour toi?surtout que le dev lui répond et sait que c'est possible? http://www.autoitscript.com/forum/index ... _Memcreate , http://www.autoitscript.com/forum/index ... 19329&st=0

[Tlem]

Hummm, il faudrait lire un peut mieux ce qui est écrit.
Il n'est nullement fait état du lancement d'un exécutable à partir de la mémoire.

[fanatick]

Dans ce cas désolé , peux tu nous expliqué de quoi ca parle alors stp?

[Tlem]

Hé bien de mémoire tout simplement.

L'utilité de cet UDF est de récupérer en mémoire une partie du code d'un programme en cours de fonctionnement et de l'exécuter (entre autre).
Par contre le niveau de connaissance pour ce genre de chose dépasse largement mes compétences et sûrement les votre.

[Ghost911]

j'ai enfin la solution pour lancer un .exe en mémoire pour ce que sa intéresse je vais bientôt le mettre sur le forum !

[arrkhan]

je viens aux news, nous as-tu creer cette fonction tant attendu ? (histoire de voir si on peut pas l'intercepter avant qu'elle arrive en mémoire )

[Ghost911]

oui mais sa marche pas bien j'ai pas terminer le script !

[HeartKey]

Je rêve ...

Sur le forum Anglais, on vous dit que ce n'est pas possible.
Sur le forum Français, on vous dit que ce n'est pas possible.
Et vous continuez malgré tout !

Avant de vous lancer dans certaines directions, apprenez comment fonctionne un ordinateur (je parle en interne bien sur) et un système d'exploitation (architecture).

Bon courage dans vos recherches à la quête du saint Graal.

Hep Hep ! C'est tout a fait possible !
A ton avis Tlem, Comment Windows execute un programme ? ^^
Tout d'abord il le charge en mémoire , ce qui fait que sa présence physique sur le disque devien inutile tant que le programme est en mémoire (et il le reste durant toute son execution) a l'éxéption de l'obtention de ressource du programme qui ne sont obtenable que si l'executable est enregistrer sur le disque , la plus belle preuve est que c'est la pratique la plus utiliser de nos cher virus . Cela dit le mettre en mémoire est plutot simple mais l'éxécution est plus compliqué ^^".

[Tlem]

Merci pour ce mini cours de fonctionnement d'un programme.

Cela dit, je connais très bien ce principe de base, mais si vous lisez l'intégralité du sujet, vous verrez que la question d'origine n'est pas celle-ci, mais plutôt le lancement d'un programme qui en chargerait un autre crypté en mémoire qui serait ensuite décrypté directement en mémoire, puis lancé à partir du dit espace mémoire.
Les données exposées comme ceci deviennent bien plus problématiques ... Non ?

[HeartKey]

En effet et pour en revenir a ma conclusion du "mini cour" , il n'est pas difficile de charger et de décrypter le programme en mémoire mais beaucoup plus dur de forcer windows a le lancer diréctement , c'est donc belle est bien une source de migraines .

Je suis impatien de voir la solution de Ghost911 , elle remplacerai l'aspirine j'esper .

[Ghost911]

dsl kalvine est les autres je ne sortirai pas le crypter a cause des demande que j'ai pu avoir en privée pour rendre indétectable (virus,trojan ect ...) & de la mauvaise utilisation qu'on peut en faire sinon le crypter & bien terminer !

[HeartKey]

Vraiment dommage....
Sa avait l'air bien .