|
RunPE криптер эффективность?
|
|
| d4rkzy | Дата: Пятница, 18.09.2015, 12:35 | Сообщение # 1 |
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
| Вот сижу и думаю. Многие криптеры используют RunPE - тобишь запуск файлов из памяти. Ясное дело что сперва все эти файлы шифруется всякими des, RC4, xor алгоритмами, но - действительно ли это эффективный метод? Почему антивирусы все еще не поставят какую нибудь заглушку на createprocess или createthread в suspend моде? Они же могут мониторить все исходящие апи вызовы? Вообще-м вопрос - это правда что runpe криптеры обходят так называемые проактивные защиты? И кто мне может сказать разницу меж эмуляцией и проактивной защитой? Антон, жду твоего коммена.
|
| |
| |
| Волк-1024 | Дата: Пятница, 18.09.2015, 21:17 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Все эти заглушки давно висят, причём на уровне ядра. (У винды вроде даже есть технология помощи драйверам антивирусов запускаться самыми первыми) И все или почти все Api мониторятся, а код эмулируется (По крайней мере это подразумевает любой хороший антивирус  )
Цитата d4rkzy (  ) это правда что runpe криптеры обходят так называемые проактивные защиты?
Не всегда, но сколько я не писал загрузчики - тот же Касперский не палил. Хотя это наверно потому, что в качестве полезной нагрузки обычно служил образ-болванка или калькулятор Надо будет вновь проверить.
Цитата d4rkzy ( ) действительно ли это эффективный метод?
С моей точки зрения самый эффективный способ - это генерация случайных RISС-виртуальных машин, которые будут исполнять PE образы, переведенные в байт-код виртуалки. + Ещё приправить криптографией.
Pascal, C\C++, Assembler, Python
|
| |
| |
| Anton93 | Дата: Понедельник, 21.09.2015, 17:53 | Сообщение # 3 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Цитата Все эти заглушки давно висят, причём на уровне ядра
это скорее можно назвать монитором с эвристикой нежели заглушкой
если бы все так просто было, все бы давно бросили малаварь писать, ибо их мочила эвристика на стадии инициализации, однако число вирусов из года в год растет (инфа с секъюрлиста касперсокго).
а причина проста - ограниченность ресурсов (процессор, время итд) ВМ АВ приходится принимать решение очень быстро. что собственно не является полноценной эмуляцией системы. ВМ АВ не имеет и 10% возможностей к примеру АВ чтобы полноценно отэмулить код и посмотреть а что же он делает то? + опять же возвращаясь к урезанной среде она палится очень сильно. статьи и описание на васме есть. и с примерами. от контроля результатов и ошибок апи, до регистра флагов.
 ICQ: 41896
|
| |
| |
| XSPY | Дата: Четверг, 21.07.2016, 16:35 | Сообщение # 4 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| Anton93, что за ВБ? VirusBlockAda?
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| Anton93 | Дата: Пятница, 02.09.2016, 00:08 | Сообщение # 5 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| блин, ошибся когда писал) спасибо, исправил)
ICQ: 41896
|
| |
| |
| Android | Дата: Четверг, 29.12.2016, 11:19 | Сообщение # 6 |
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
| у кого-то есть версия RunPE для х64?
|
| |
| |
