|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Авг 25, 2003 08:57:20 Как спрятаться от СОВРЕМЕННЫХ av программ? |
|
|
Дата: Авг 25, 2003 10:05:11 Вроде эти AV программы, если в базе вируса нет, его не определят. Значит главное - обмануть эвристический анализатор. Например хорошо помогает, если запаковать каким-нибудь хорошим протектором. |
|
|
Дата: Авг 26, 2003 08:31:37 Да, его я и имею в виду. + эмулятор выполнения кода! Котоый (конечно, возможно!) все распакует. А надо бы чтобы он подавился. Может команды какие нибудь исполнять типа MMX, вдруг не поймет? Или шифровка до сих пор против AV помогает? Я просто не в курсе. Так как dragon говорит, дело обстояло лет 5-6 назад. Неужели у AV писателей ничего не изменилось!? |
|
|
Дата: Авг 26, 2003 10:44:11 эмулятор распаковкой не занимается. упаковщик авир тоже по сигнатуре распознает, и распаковщик встроеный вызывает. а вот если сигнатуру упаковщика засрать, то авир файл за упакованый принимать перестанет, и скажит, что он чист, как попка младенца. |
|
|
Дата: Авг 26, 2003 12:15:46 а по поводу завала эмулятора - читай доки по антиотладке. там можно найти способы обмана эмулирующих отладчиков. а в авирах эмулятор, вроде, по тому же принципу действует... |
|
|
Дата: Авг 29, 2003 03:33:27 Как я понял вопрос, Zervide спрашивает, как можно спрятать свой вирусный код в программе. А все чо то пишут о запускных программах этих самых вирусов. Ведь за каждым зараженным файлом не будешь бегать с neoliteом или еще с чем нибудь. Установочная часть распознается av за секунды хоть с neoliteoм, хоть без него, да даже если и засрать сигнатуру, то dr.web в моем случае распознает его, если он его распознавал до этого. Такие фишки мона было делать давным-давно. От такого метода пользы как с кота молока. На мой взгляд самым продуктивным остается метаморфизм и вытекающая из него процедура шифрование. Конечно, я понимаю довольно сложно разобраться и написать что-то новое, но это того стоит, еще тоже стоит понять пермутации. Нужно много перечитать по этому поводу,например, там есть интересные статьи Z0MBiE по этому поводу, а так это очень трудные техники, в плане того надо долго сидеть и манаться с этой хреновенной, чтобы чтото вышло новое и незаметное. Просто у твоего виря шансов остаться в живых будет больше. А еще чуть не забыл, ссылочка тоже на тему:[url=]http://www.wasm.ru/publist.php?list=6. Чем сложнее твой движок, тем труднее достать твой вирь и эта технология еще жива. |
|
|
Дата: Авг 29, 2003 03:41:11 стоп, dragon??? Это который поломал программу bad_guyа, если ты, то молоток. Скока я возился с ней, но после твоего взлома даже влом было и копаться, ваще молодчина!!! А и еще, если, что то кому то не понравилось- Извините! И если кто то хочет высказать критику высказывайте с удовольствием прийму. |
|
|
Дата: Авг 29, 2003 12:43:52 master_samodelkin в общих чертах я с тобой согласен. кроме одного. если грамотно исправить запакованый файл, то др. веб перестанет его распознавать, как упакованый, и внутрь не полезет. согласен, для распространения файлового вируса этот способ не годится, но вот для e-mail червя или трояна такой способ очень даже ничего... ЗЫ метаморфизм не обязательно подразумевает шифрование... Zervide по поводу сайта z0mbie.host.sk - ты действительно найдешь там много полезного. |
|
|
Дата: Авг 30, 2003 07:26:59 master_samodelkin Да, это я был. Кстати, если Armadillo запаковать и сигнатура снести(В PE Tools написаны), то вряд ли вирус вообще может быть обнаружен, не будет же анализатор оба процесса проверять. Попробуйте, у кого антивирусы стоят, я просто не пользуюсь. Также можно построить небольшую виртуальную машину, анализатор тоже не справится. А можно также попробуобать использовать функции GetTickCount, ведь под анализатором код будет помедленнее выполняться, и можно вырубить процесс, когда код вируса будет ещё зашифрован, анализатор ничего не заподозрит. Способов вообще много так можно напридумывать, но мне их не проверить. |
|
|
Дата: Авг 30, 2003 09:01:10 |