Вторник, 03.12.2024, 17:37 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: xXxSh@dowxXx, Anton93, Волк-1024  
RunPE криптер эффективность?
d4rkzyДата: Пятница, 18.09.2015, 12:35 | Сообщение # 1
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Вот сижу и думаю. Многие криптеры используют RunPE - тобишь запуск файлов из памяти. Ясное дело что сперва все эти файлы шифруется всякими des, RC4, xor алгоритмами, но - действительно ли это эффективный метод? Почему антивирусы все еще не поставят какую нибудь заглушку на createprocess или createthread в suspend моде? Они же могут мониторить все исходящие апи вызовы? Вообще-м вопрос - это правда что runpe криптеры обходят так называемые проактивные защиты? И кто мне может сказать разницу меж эмуляцией и проактивной защитой? Антон, жду твоего коммена.
 
Волк-1024Дата: Пятница, 18.09.2015, 21:17 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Все эти заглушки давно висят, причём на уровне ядра. (У винды вроде даже есть технология помощи драйверам антивирусов запускаться самыми первыми) И все или почти все Api мониторятся, а код эмулируется (По крайней мере это подразумевает любой хороший антивирус biggrin )

Цитата d4rkzy ()
это правда что runpe криптеры обходят так называемые проактивные защиты?

Не всегда, но сколько я не писал загрузчики - тот же Касперский не палил. Хотя это наверно потому, что в качестве полезной нагрузки обычно служил образ-болванка или калькулятор biggrin Надо будет вновь проверить.

Цитата d4rkzy ()
действительно ли это эффективный метод?

С моей точки зрения самый эффективный способ - это генерация случайных RISС-виртуальных машин, которые будут исполнять PE образы, переведенные в байт-код виртуалки. + Ещё приправить криптографией.


Pascal, C\C++, Assembler, Python
 
Anton93Дата: Понедельник, 21.09.2015, 17:53 | Сообщение # 3
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Цитата
Все эти заглушки давно висят, причём на уровне ядра

это скорее можно назвать монитором с эвристикой нежели заглушкой

Цитата
а код эмулируется

если бы все так просто было, все бы давно бросили малаварь писать, ибо их мочила эвристика на стадии инициализации, однако число вирусов из года в год растет (инфа с секъюрлиста касперсокго).
а причина проста - ограниченность ресурсов (процессор, время итд) ВМ АВ приходится принимать решение очень быстро. что собственно не является полноценной эмуляцией системы. ВМ АВ не имеет и 10% возможностей к примеру АВ чтобы полноценно отэмулить код и посмотреть а что же он делает то? + опять же возвращаясь к урезанной среде она палится очень сильно. статьи и описание на васме есть. и с примерами. от контроля результатов и ошибок апи, до регистра флагов.


ICQ: 41896
 
XSPYДата: Четверг, 21.07.2016, 16:35 | Сообщение # 4
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
Anton93, что за ВБ? VirusBlockAda?

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
Anton93Дата: Пятница, 02.09.2016, 00:08 | Сообщение # 5
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
блин, ошибся когда писал) спасибо, исправил)

ICQ: 41896
 
AndroidДата: Четверг, 29.12.2016, 11:19 | Сообщение # 6
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
у кого-то есть версия RunPE для х64?
 
  • Страница 1 из 1
  • 1
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz