Среда, 20.09.2017, 03:07 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 3123»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Полиморфизм в Delphi. А почему бы и нет? (Полиморфный вирус без ASM)
Полиморфизм в Delphi. А почему бы и нет?
Anton93Дата: Воскресенье, 29.09.2013, 13:36 | Сообщение # 1
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей
Прикрепления: 9729351.png(4Kb) · 4061902.png(4Kb)


ICQ: 41896

Сообщение отредактировал Anton93 - Воскресенье, 29.09.2013, 13:43
 
NeoДата: Воскресенье, 29.09.2013, 15:41 | Сообщение # 2
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
А я думал,что будет пример)))
 
Anton93Дата: Воскресенье, 29.09.2013, 16:08 | Сообщение # 3
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Neo, пример если выкладывать то только в приват, полиморфных движков на delphi я еще не встречал вообще.

ICQ: 41896
 
SlashДата: Воскресенье, 29.09.2013, 22:36 | Сообщение # 4
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Цитата (Anton93)
Neo, пример если выкладывать то только в приват, полиморфных движков на delphi я еще не встречал вообще.

Криптор Morphine полиморфный, при этом с открытым исходным кодом.
 
Anton93Дата: Воскресенье, 29.09.2013, 23:16 | Сообщение # 5
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Slash, морфин использует Assembler, более того, его уже не обновляют и собраные приложения не идут под x64. я же предлагаю метод без ассемблера, чтобы не возникало таких нежданчиков.

ICQ: 41896
 
Anton93Дата: Вторник, 01.10.2013, 11:24 | Сообщение # 6
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей
Прикрепления: 1551520.png(24Kb)


ICQ: 41896

Сообщение отредактировал Anton93 - Вторник, 01.10.2013, 15:37
 
Anton93Дата: Вторник, 05.11.2013, 14:53 | Сообщение # 7
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей
Прикрепления: 0148429.png(18Kb) · 4070874.png(14Kb)


ICQ: 41896

Сообщение отредактировал Anton93 - Вторник, 05.11.2013, 14:55
 
ramzeswrДата: Среда, 06.11.2013, 08:08 | Сообщение # 8
Участник
Зарегистрирован: 17.04.2013
Группа: Пользователи
Сообщений: 61
Статус: Offline
Anton93, молодец, прям слов нет. Респект и уважуха)
 
xXxSh@dowxXxДата: Среда, 06.11.2013, 12:41 | Сообщение # 9
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Да, зачетно!, большую работу проделал, молодец)
Удивило, особенно реакция аверов, а в частности "Avira", никогда бы не подумал что она может показывать такие результаты surprised


Сообщение отредактировал xXxSh@dowxXx - Среда, 06.11.2013, 12:42
 
Anton93Дата: Воскресенье, 17.11.2013, 20:39 | Сообщение # 10
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Воскресенье, 17.11.2013, 20:41
 
xXxSh@dowxXxДата: Понедельник, 18.11.2013, 01:14 | Сообщение # 11
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Отлично!, будем ждать результатов, прям заинтриговал)))
 
dolphinДата: Понедельник, 18.11.2013, 10:20 | Сообщение # 12
Администратор
Сообщений: 902
Статус: Offline
Anton93, к твоему посту №10, когда то тоже заморачивался с таблицей импорта и шифрованием функций на делфи, правда приходилось кое где использовать ассемблерные вставки, но все таки вот такой ехе получился на выходе (во вложении), вполне рабочий и без использования таблички импорта, функции импортируются по ходу выполнения программы, можно убрать секции размер которых по 512 байт, их Делфийский линковщик все равно вставляет, но они пустые и не используются. Приложил очищеные системные модули, в dpr необходимо все равно вписать exitprocess в конце, потому что я и ее удалил из них, думаю пригодятся наработки.

А вообще по теме в моем понимании полиморфизм на делфи будет представлять собой некое соединение DCC32.EXE (Компилятор делфи) и функционала привязанного к нему то есть генератор исходного полиморфного кода который будет каждый раз генерировать новый модифицированный исходник и DCC32.EXE в свою очередь будет его компилировать, без него в принципе не обойтись в нашем случае. А все приведённые выше блок схемки относятся скорее всего к возможным задачам ассемблера.

Плюс еще добавил Project2 где просто облегченная версия, на стадии облегчения №1 (когда код очищается от ненужных функций)
Прикрепления: Project1.rar(1Kb) · NO_IMPORT.rar(296Kb) · Project2.rar(4Kb)


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик


Сообщение отредактировал dolphin - Понедельник, 18.11.2013, 10:42
 
Anton93Дата: Понедельник, 18.11.2013, 14:52 | Сообщение # 13
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Понедельник, 18.11.2013, 14:55
 
NeoДата: Среда, 20.11.2013, 15:51 | Сообщение # 14
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Anton93, Зачётно,моложец!
 
Anton93Дата: Суббота, 30.11.2013, 18:48 | Сообщение # 15
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей
Прикрепления: 2252390.png(12Kb)


ICQ: 41896

Сообщение отредактировал Anton93 - Суббота, 30.11.2013, 18:52
 
C@TДата: Вторник, 03.12.2013, 01:43 | Сообщение # 16
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Anton93, молодец что решил посвятить себя таким вещам как крипторы.
насколько я понял твой крипт работает как матрешка(ехе-ха внутри расшифровщика), т.е крипт несет в себе шифрованное тело другого ехе файла, который он потом загружает в память и исполняет. такой вид крипторов очень популярный, я писал аналогичный криптор но на плюсах, который давал на chk4me.com результат 0/24. но у него есть огромный минус, хоть он и спасает от антивирусов, но это все пока ты его не "пустишь в бой" , начнет палится сам стаб(контейнер который несет в себе шифрованную ехе-шку) , далее в таком крипте не заставит труда вытащить тело твоей зашифрованной ехе-шки , что умеют делать некоторые антивирусы, даже достаточно большая часть. в итоге приходится чистить стабы, что очень трудоемко, в данном виде крипторов очень сложно сделать именно полиморф, который бы генерил не просто разные по сигнатуре файлы, забивая их мусором, к примеру, в данном крипторе почти не спасает криптонуть ехе-шку с другим ключем шифрования, например(все выше сказанное это не догадки, а личный опыт).(еще как минус можно отнести отсутствие ресурсов, но это не страшно)

по поводу криптора советовал бы тебе сделать так же подгрузку ДЛЛ-лек при обработки импортов, т.е не вызывать LoadLibrary и GetProcAddress , а подгрузать длл из файла в память и в ней тоже обрабатывать импорты и релоки , желательно еще и tls. и подумать все таки над алгоритмом рандомизирования кода, что в высокоуровневых языках очень сложно.

пожелания, надеюсь ты доведешь все это хотя бы до того что бы твой расшифровщик был на асме и напишешь алгоритм рандомизации ассемблерных инструкций + посмотришь в сторону интерпритации кода, что бы с твоего криптора не могли стянуть дамп зашифрованной внутри ехе-хи.(с последним у самого большие проблеммы)


 
Anton93Дата: Вторник, 03.12.2013, 10:29 | Сообщение # 17
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Вторник, 03.12.2013, 10:38
 
d4rkzyДата: Четверг, 19.12.2013, 17:28 | Сообщение # 18
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Молочуля - прям слов нет. Можешь чуть больше рассказать о работе стаба (Т.e как происходит запуск полезной нагрузки, твоими словами боеголовки=)
А то щас криптор пишу, на делфях, работает как шифрованный ехе в стабе который расшифрует этот ехе и заинжектит в память (Т/е все в памяти) - Смог обойти рыночные антивирусы (Дрвеб, аваст и тк) а вот мелочные палять эвристикой - что делать уже не знаю, думаю твой рассказ поможет и мне и другим ребятам =)
 
Anton93Дата: Воскресенье, 22.12.2013, 20:37 | Сообщение # 19
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Цитата
больше рассказать о работе стаба


на самом деле, по понятным причинам, пока не хотелось бы палить работу стаба smile . Во всяком случае я уже нашел три разных способа "выполнения внутри себя".

Цитата
А то щас криптор пишу, на делфях, работает как шифрованный ехе в стабе который расшифрует этот ехе и заинжектит в память (Т/е все в памяти)


метод, как писали выше популярный и эффективный, так что работаешь в верном направлении smile

Цитата
Смог обойти рыночные антивирусы (Дрвеб, аваст и тк) а вот мелочные палять эвристикой - что делать уже не знаю


по обходу, и в частности по обфускации, хотелось бы сказать многое, за последние полгода, взрыв топовой эвристики идет с пол щелчка, я понял на, что они смотрят, и как это можно обойти/замусорить/растянуть, что ни эмулятор кода, ни анализатор не выдерживают, поэтому постом тут не ограничиться, хотелось бы вынести все в отдельную статью/тему.
Что касается не топовых решений, я думаю там в большинстве случаев можно отнести к ложным срабатываниям, известно что на пустой проект делфи из 20 ав 10-8 дают реакцию на безобидный файл, поэтому я с большей уверенностью могу сказать, что идет ложное срабатывание, и я не верю, что они настолько могут сильно раскрутить в эмуляторе exe'шку чтобы добраться до нужного, когда абсолютные лидеры уже бессильны.


ICQ: 41896
 
xXxSh@dowxXxДата: Среда, 25.12.2013, 21:18 | Сообщение # 20
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Anton93 слушай, я так понимаю ты каждый раз тестируешь то что у тебя получается на вирустотале, так?

а на самих антивирусах тестировать не пробовал?
да, конечно я понимаю что это муторно ставить каждый раз новый АВ для теста, но что то мне подсказывает, я даже больше скажу, скорее всего так и есть, что на вирустотале тупо ложные срабатывания, и результаты оттуда будут значительно отличаться от реальной ситуации с установленным АВ.

Так что не поленись, попробуй установить и проверить хотя бы часть из тех что у тебя на вирустотале показывали детектед.


Сообщение отредактировал xXxSh@dowxXx - Среда, 25.12.2013, 21:20
 
Anton93Дата: Среда, 25.12.2013, 21:44 | Сообщение # 21
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Среда, 25.12.2013, 21:59
 
d4rkzyДата: Пятница, 27.12.2013, 14:51 | Сообщение # 22
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Спасибо за ответ smile Большинство ав ушли после запутки кода (Функция в функции и опять в функции)
Рынок сбил, в итоге скан файла вышел 24/3 - Из маинстрима кричит только Avira - что с ней не так я не пойму, толи ученные в их лаборатории сидят толи что.
Цитата
понял на, что они смотрят, и как это можно обойти/замусорить/растянуть, что ни эмулятор кода, ни анализатор не выдерживают, поэтому

Надеюсь в скором времени напишешь статью, было бы интересно почитать =)

Не можешь написать что нибудь про обход Avira? А то уже мозг переломал - не понимаю почему детект срабатывает

Цитата
скажу больше, даже премиум акк взял на chk4me чтобы тестировать прям сразу после компиляции и фиксить, помню в день файлов по 50 сливал, не меньше. вот тогда и понял кто на что кричит))

А я вот тоже купил премиум у них smile В день слил им более 60файлов - искал часть кода на которую ав кричат =)
 
Anton93Дата: Суббота, 28.12.2013, 17:34 | Сообщение # 23
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896
 
d4rkzyДата: Суббота, 28.12.2013, 19:46 | Сообщение # 24
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, chk4me щас не работает - скан кину сразу как отвиснет он, а кричала вроде бы как get.drop (не то что - скину скан позже)))

Цитата Anton93 ()
необходимо опытным путем установить, на какую именно функцию идет реакция, чтобы точно знать что обфускацировать

Т/е просто удалять функции и проверять на вирусы (если да, то я весь код можно сказать снес уже - авира кричать не перестала)
 
Anton93Дата: Суббота, 28.12.2013, 21:18 | Сообщение # 25
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896
 
delfcode » Delphi » Вирусология Delphi » Полиморфизм в Delphi. А почему бы и нет? (Полиморфный вирус без ASM)
Страница 1 из 3123»
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz