Planteo mi problema antes que nada:

Estoy testeando con programas de administración remota, y el server que uso esta encriptado con un cripter de lo más sencillo posible.

El stub contiene las siguientes partes: Y si encripto cualquier cosa, me funciona a la perfección.

El problema está en que si encripto una RAT, connecto con la "victima" y le descargo y ejecuto un archivo encriptado con ese cripter, por ejemplo, una simple calculadora, a la "victima" le aparece el mensaje: Juraría que ese error es culpa del split, que al descargar y ejecutar en memoria otro archivo con otro split, se confunde de partes...

¿Alguna solución? ¿Vosotros también dirías que es fallo del split?

Muchas grácias de antemano!

si ese archivo antes de mandarlo a traves del RAT funciona correctamente y después de mandarlo por el RAT le aparece ese mensaje, puede que sea culpa del RAT...

ese error en ejecución aparece debido a que no encuentra la parte del programa sin encriptar dentro de él mismo (el stub), es decir, como si ejecutas el stub solamente. suele saltar cuando el stub no puede leer bien el ejecutable que tiene dentro, no necesariamente por el split, sino porque se le haya tocado la cabecera PE del archivo que lleva dentro o cosas así. Espero haberte dado una pista al menos de que puede ser.

PD: si puedes especifica que RAT usas y que características tiene tu crypter (si soporta EOFdata etc.)

Un saludo. R-007

Muchas gracias por tu respuesta.

Estoy testeando con Zeus, no es una RAT del todo, pero bueno... Estoy seguro al 100% que culpa de la RAT no es, ya que si envio la calc.exe si encriptar me la abre sin problemas.

Y el crypter... Había empezado con el que uso siempre, que tiene Preserve EOF, Realing PE Headers y tal, y luego lo he simplificado lo máximo posible, quitando esas opciones entre otras, para ir descartando cosas.

El fallo está al enviar algo encriptado... como si un Stub no pudiera contener otro stub, o algo así.

A ver si a alguien se le ocurre alguna solución o alternativa.

Había empezado con el que uso siempre, que tiene Preserve EOF, Realing PE Headers y tal, y luego lo he simplificado lo máximo posible, quitando esas opciones entre otras, para ir descartando cosas

No quites el Preservar EOF porque es una función importante dentro de lo que cabe para que funcionen programas como servers y así...
Y por meter un archivo ya encriptado dentro de otro no te preocupes ya que quedaría así:
1-Stub
2-Firma
3-Archivo con stub(ya encriptado), con tu encriptacion actual RC4
4-Firma
5-Pass RC4

Luego leerías 3, lo desencriptas y al ejecutarlo... se ejecutaría como cualquier otro archivo solo que con un Stub de autolectura .

Espero haber clarificado un poco más aunque no haya resuelto tu duda.
PD:Te recomiendo que si quieres pruebes otro crypter para descartar completamente la culpa del RAT

Un saludo. R-007

Es un fallo de que no te encuentra el stub / el exe. Prueba a debugearlo con calma. pero es un fallo de localización de fichero.

R-007 escribió: Luego leerías 3, lo desencriptas y al ejecutarlo... se ejecutaría como cualquier otro archivo solo que con un Stub de autolectura.

Entonces, si encriptara un archivo ya encriptado, funcionaria? Sería jugar con lo mismo, no? Porque si es así... no me funciona, pero tampoco suelta ningún error.

R-007 escribió: PD:Te recomiendo que si quieres pruebes otro crypter para descartar completamente la culpa del RAT

Recomiendas alguno en especial?

winsock escribió:Es un fallo de que no te encuentra el stub / el exe. Prueba a debugearlo con calma. pero es un fallo de localización de fichero.

No se me ocurre manera alguna de debugearlo, ya que el fallo está en el exe encriptado ejecutado por el server de una RAT encriptado... estoy lejos del vb.

Muchas gracias a todos, cada vez estoy más cerca.

Buenas de nuevo, creo que tengo algun avance más...

He provado de encriptar el server y la calculadora con el "Carb0n Crypter 1.7", y me sale el mismo error.

Al menos ya no me siento con la culpa de haber programado mi crypter mal :P

Si incluso falla ese crypter de tanta reputación... que puede estar pasando?

La única solución que veo, es la de no usar la función "Split", pero no se me ocurre como.