читал на www.xakep.ru, не помню какой номер, в 2011 году был написан коммерческий (сделанный специально на заказ с целью выведать информацию у конкурента) вирус, соберающий информацию с баз данных, так вот, его беспалевность работы в том же реестре и прочих системных папках осуществлялась за счет того что программер который его написал использовал легальную, действующую цифровую подпись от Realtek, фирмы разрабатывающей программное обеспечение и драйвера для звукового оборудования, до сих пор идут споры о том как эта цифровая подпись к нему попала
метод конечно сложный, но выполнимый, я как то раньше уже задумывался над этим...
Marra_Kesh не знаю как у тебя но у меня на многие, даже легальные программы антивирь все равно запрашивает действие, разрешить или запретить запись в реестре.., то есть не такие уж они и беспалевные...
Сообщение отредактировал xXxSh@dowxXx - Суббота, 05.05.2012, 07:38
Ребят, а обязательно свое тело копировать именно туда? Можно создать ярлык в папке с автозагрузкой, выставить ему скрытые свойства а само тело кинуть например в GetSpecialPath($28), думаю сработает, хотя я использую другую технику в этом случае. У касперского, например, эвристика банально смотрит на то что файл самокопируется байт в байт и регистрируется в 'примитивных ветках/папках загрузки', избежать этого можно кучей способов. Вне всякого сомнения, человек думающий, поймет в каком направлении надо двигаться. Скажу лишь основываясь на собственном опыте, обойти эвристику в последнем каспесрком, который я качал на днях для тестов, не так уж и трудно в этом плане. ICQ: 41896
У касперского, например, эвристика банально смотрит на то что файл самокопируется байт в байт и регистрируется в 'примитивных ветках/папках загрузки', избежать этого можно кучей способов.
Обход проверки различных областей загрузки и автозапуска это лишь малая часть дела, куда важнее стоит задача обойти эвристику в момент запуска и начала выполнения кода, когда тот же каспер начинает реагировать на все неведомые ему действия программы, да он конечно не реагирует на программу как на вирус, а всего лишь указывает пользователю на то что какая то новая программа выполняет определенные действия, если Вас это вполне устраивает то это Ваше дело, а для меня наилучшим результатом всегда оставался, остается и будет оставаться абсолютно безпалевный запуск и выполнение кода программы, что бы ни один из возможных АВ ничего не заметил, конечно тут можно поэкспериментировать с автозапуском и попытаться запустить программу раньше чем стартанет АВ, но это не всегда срабатывает.
Сообщение отредактировал xXxSh@dowxXx - Суббота, 15.06.2013, 17:57
xXxSh@dowxXx, Вы забегаете вперед, я ответил лишь о добавлении в автозагрузку, про другие действия, на которые реагирует каспер, надо рассматривать отдельно Выше идея была предложена о сертификатах. Кто в теме вирусы мирового уровня такие как Stuxnet, Flame и Gauss использовали как раз подписи, благодаря чему их разработчики не парились об инсталле и в наглую добавляли ветки реестра сервисов (и это тоже жеско палится кстати без подписей).
Цитата
если Вас это вполне устраивает то это Ваше дело
с чего вы взяли то? я как раз и работаю над этим и провожу тестирование на нескольких антивирусах чтобы убедиться в 100% безотказности кода, о чем упомянул поверхностно в предыдущем посте ICQ: 41896
Дата: Воскресенье, 16.06.2013, 10:26 | Сообщение # 60
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
Цитата (Anton93)
Выше идея была предложена о сертификатах. Кто в теме вирусы мирового уровня такие как Stuxnet, Flame и Gauss использовали как раз подписи, благодаря чему их разработчики не парились об инсталле и в наглую добавляли ветки реестра сервисов (и это тоже жеско палится кстати без подписей).
Дата: Воскресенье, 16.06.2013, 13:40 | Сообщение # 61
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Don_Diego, только украсть. покупать это дорого, да и оформляют на человека или лицо насколько я знаю. оформишь вот так и придут к тебе домой ICQ: 41896
Anton93 ты можешь на своем компе спокойно создать сертификат и подписать им exe только толку от этого мало будет.тут как раз фишка с%%%ть сертификат известной компании и им подписать своего зверя.
А есть ли какая нибудь возможность вырвать подпись из какого либо уже подписанного файла, и немного её видоизменить, что бы припаять её к своему файлу?
Сообщение отредактировал xXxSh@dowxXx - Среда, 26.06.2013, 10:52
Volf, я знаю, поэтому пишу про кражу. для популярных вирусов крались сертификаты для безотказности xXxSh@dowxXx, думаю это не просто если возможно. иначе бы все давно доставали. скорее всего там хэш-суммы и к чужому файлу они не подойдут ICQ: 41896
украсть можно,но там трудность будет в факторизации и новом подсчете хешей... Я не крекер,а программист! Я не преступник-я свободный человек! Лучше один раз накодить,чем сто раз качать билды!
А что если запустить из нашего процесса программу имеющую цифровую подпись, ну скажем Калькулятор, заинжектиться в нее и из нее сделать запись в реестр в автозагрузку ??
Добавлено (14.03.2014, 09:10) --------------------------------------------- 1 ночь размышлений и Вот оно Есть способ добавлять программу в автозагрузку (проверено на Win7 но я думаю и на других версиях будет работать) и Касперский (последняя версия с сайта, базы обновлены вчера) молчит и без проблем все разрешает. Способ настолько банален и прост что даже смешно но все работает, в коде добавилось всего 2 строки. Кому из "Продвинутых" интересно расскажу в личку. В паблик выкладывать не буду, использую в своем проекте.
в автозагрузку (речь о папке) можно скопироваться совершенно без проблем, как и записать ключ в реестр. В чем трудности то? Проблема в том, что это плохой путь, т.к. мало-мальски опытный юзер сразу полезет туда.
Цитата
А что если запустить из нашего процесса программу имеющую цифровую подпись, ну скажем Калькулятор, заинжектиться в нее и из нее сделать запись в реестр в автозагрузку ??
А что мешает инжектиться к Проводнику?
Сообщение отредактировал Stertor - Пятница, 14.03.2014, 19:37
Перед запуском программы Касперский определяет ее как нормальную, но когда программа пытается прописаться в автозагрузку в реестре (естественно не имея цифровой подписи) Касперский видит запись в реестр в определенные ключи (в группу автозапуска, по всем веткам), детектирует программу как вредоносную, удаляет программу и откатывает изменения сделанные в реестре.
Сообщение отредактировал VerKlim - Пятница, 14.03.2014, 21:03
Есть способ добавлять программу в автозагрузку (проверено на Win7 но я думаю и на других версиях будет работать) и Касперский (последняя версия с сайта, базы обновлены вчера) молчит smile и без проблем все разрешает.
Интересно было бы поглядеть на тесты с Каспером, мой так все подряд блочит, сам как то пробовал методом инжекта в сертифицированные процессы.
ЦитатаVerKlim ()
Перед запуском программы Касперский определяет ее как нормальную, но когда программа пытается прописаться в автозагрузку в реестре (естественно не имея цифровой подписи) Касперский видит запись в реестр в определенные ключи (в группу автозапуска, по всем веткам), детектирует программу как вредоносную, удаляет программу и откатывает изменения сделанные в реестре.
ну скажем так, не удаляет её сразу, у меня например стоит вывод уведомления, что бы я сам мог решить что с ней сделать, но в общем да, так и есть!
___________________ ...пару часов спустя...
VerKlim проверил твой метод, к сожалению на ХР с моим каспером не получился такой фокус, его эвристика активно отработала, но все же за попытку тебе +
Сообщение отредактировал xXxSh@dowxXx - Суббота, 15.03.2014, 15:08
Касперский мониторит реестр только с включенной проактивкой, а по умолчанию она выключена. Если у юзера включена проактивка, то можно рассчитывать только на методы соц. инженерии, ибо проактивка не даст вам ничего сделать с реестром. Но еще раз повторяю: у большинства юзеров она выключена - многие даже не знают о ее существовании. Те же, кто знают, выключают/не включают вообще, так как всплывающее окошко сильно надоедает.
Сообщение отредактировал Stertor - Суббота, 15.03.2014, 17:01
У меня Касперский установлен 4 дня назад, с дефолтными настройками, реестр палиться, точнее паляться записи в некоторые ключи, в частности все ключи автозагрузки. Касперский Crystal тоже палит все автозагрузку.
Дата: Понедельник, 17.03.2014, 16:03 | Сообщение # 74
Группа: Удаленные
Вчера экспериментировал с антивирусами на виртуальной машине. Действительно, теперь по-умолчанию проактивка включена (( Но тем не менее, я нашел способ добавиться в автозагрузку. Если кого-то интересует - в личку.
