Полиморфизм в Delphi. А почему бы и нет? - Страница 2 - delfcode
Суббота, 10.12.2016, 21:28 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 2 из 3«123»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Полиморфизм в Delphi. А почему бы и нет? (Полиморфный вирус без ASM)
Полиморфизм в Delphi. А почему бы и нет?
d4rkzyДата: Воскресенье, 29.12.2013, 21:59 | Сообщение # 26
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, chk4me отвис smile
Код
avira = Is the TR/Hijacker.Gen Trojan

Вот ссылка на скан: http://chk4me.com/check/public/7A06sCN43zGmdWQe9E
 
HargenДата: Понедельник, 30.12.2013, 12:36 | Сообщение # 27
Участник
Зарегистрирован: 08.05.2013
Группа: Пользователи
Сообщений: 66
Статус: Offline
Цитата Anton93 ()
возможно делфи паленая)

Хм вроде на форуме где-то был пост о том что антивири кричали на пустое консольное приложение.
Возможно они действительно так на какой-то кусок ассемблерного кода вкомпилированного в exe дельфийским компилем так реагируют


Главное - не изобретать велосипед

 
d4rkzyДата: Понедельник, 30.12.2013, 15:54 | Сообщение # 28
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Цитата Hargen ()
Хм вроде на форуме где-то был пост о том что антивири кричали на пустое консольное приложение.
Возможно они действительно так на какой-то кусок ассемблерного кода вкомпилированного в exe дельфийским компилем так реагируют

Как Антон уже сказал, что после того как он раскровырял свой файл,он был в шоке, ибо были левые вызовы левых .dll - думаю именно из за этого происходит левый детект
 
Anton93Дата: Четверг, 02.01.2014, 15:22 | Сообщение # 29
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 18:13 | Сообщение # 30
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Цитата Anton93 ()
d4rkzy, интересно) авира мне про хиджекинг ни разу не писала)) наверное ты делаешь загрузку библиотеки как то необычно. такая реакция идет когда подменяешь библиотеку из которой идет импорт чтобы подгрузиться в чужое адресное пространство


Код
function NtUnmapViewOfSection(ProcessHandle:DWORD; BaseAddress:Pointer):DWORD; stdcall; external 'ntdll';

Ну вот так у меня стоит погрузка функции из длл.

Тоесть дедект идет из за вызова этой длл, решения два:
Не юзать длл (Юзать свой код на дельфи)
Или спрятать вызов длл.

Больше склоняюсь к первому конечно, ну интерестей сделать вызов длл:
Надумал два решения:
1) Вызывать хеш функции (Читал в какой то статье что можно вызывать функции из длл по хешу)
2) Еще думаю можно при старте программы погружать длл'ку в себя, и после вызывать функцию из своего ехе'шника (Не знаю поможет ли обойти авиру)

Anton93, Можешь словом помочь?)))

Добавлено (02.01.2014, 18:13)
---------------------------------------------
А вот теперь это меня уже серьезно пугает, убрал вызов .dll и сделал скан
Авира не перестала кричать, все так же sad

 
Anton93Дата: Четверг, 02.01.2014, 18:28 | Сообщение # 31
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Четверг, 02.01.2014, 18:32
 
d4rkzyДата: Четверг, 02.01.2014, 19:20 | Сообщение # 32
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Код
итал мельком. не использую данный метод.  
я делаю через динамическую загрузку с шифрованием. если интересно - пиши, выложу код для примера. переделаешь под себя.  
для справки: тот импорт что ты привел это статичная загрузка, это очень палевно.  


Конечно кидай

Добавлено (02.01.2014, 19:17)
---------------------------------------------

Цитата Anton93 ()
ахах) прям написал как я делаю в Trj/Downloader'ах, только так и мучу) из ресурсов вытаскиваю и гружу сразу. никто не пищит))

Длл как бы в ресурсах ехе шника лежит?
Если да то, я думал иначе сделать: Запустили наш ехешник, и мы сразу же погружаем какую нибудь длл в себя

Добавлено (02.01.2014, 19:20)
---------------------------------------------
Погуглил, нашел код:

 
Anton93Дата: Четверг, 02.01.2014, 19:27 | Сообщение # 33
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Пятница, 03.01.2014, 14:22
 
d4rkzyДата: Четверг, 02.01.2014, 19:37 | Сообщение # 34
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Полезная инфа, спасибо большое. Правда не помогло с авирой:
http://chk4me.com/check/public/F7kP6a3zt07RlhN3jTGZH144XQ7iB

Не в этой длл видимо беда (Других больше не гружу)
 
Anton93Дата: Четверг, 02.01.2014, 19:44 | Сообщение # 35
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
прочти мой предыдущий пост еще раз внимательно. может просто ты не заметил. делфи по дефолту еще грузит многое, что можно вручную отследить..
я про то, что функции другие которые ты вызываешь для работы, думаешь что описаны делфи, а они, по факту, как та, через external спрятаны в модулях, таких как windows например


ICQ: 41896

Сообщение отредактировал Anton93 - Четверг, 02.01.2014, 19:45
 
d4rkzyДата: Четверг, 02.01.2014, 19:55 | Сообщение # 36
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Вопросец, щас делаю запутку в функциях, ав не палят, гуд. Можно ли процесс этот ускорить, делаю запутку в главной функции (которая стартует все другие функции - на форме это oncreate, не знаю как в консольном обзываетя)))
Щас попробую тест сделать (А вдруг smile )

Добавлено (02.01.2014, 19:52)
---------------------------------------------

Цитата Anton93 ()
прочти мой предыдущий пост еще раз внимательно. может просто ты не заметил. делфи по дефолту еще грузит многое, что можно вручную отследить..
я про то, что функции другие которые ты вызываешь для работы, думаешь что описаны делфи, а они, по факту, как та, через external спрятаны в модулях, таких как windows например

Оу, точно, вылетело из головы, щас попробую

Добавлено (02.01.2014, 19:55)
---------------------------------------------
Ухты. Кликнул на первую, дало результат: function WriteProcessMemory; external kernel32 name 'WriteProcessMemory';
Тоесть теперь нужно написать функую которая будет вызызвать эту (например) функцию с шифрованием?)

 
Anton93Дата: Четверг, 02.01.2014, 20:25 | Сообщение # 37
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896

Сообщение отредактировал Anton93 - Четверг, 02.01.2014, 20:28
 
d4rkzyДата: Четверг, 02.01.2014, 20:43 | Сообщение # 38
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Это уже нюансы))) Я правильно тебя понимаю, нужно писать функцию для каждого вызова?
Если да - не будет удобной функции?)

и что я тут не так сделал:
мой код:


delphi:

и еще такое есть
Код
function VirtualAllocEx(hProcess: THandle; lpAddress: Pointer;
   dwSize, flAllocationType: DWORD; flProtect: DWORD): Pointer; stdcall;


Если честно не сильно понял какую именно функцию выберать)
 
Anton93Дата: Четверг, 02.01.2014, 20:48 | Сообщение # 39
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Цитата
Я правильно тебя понимаю, нужно писать функцию для каждого вызова?


да, муторно, но подругому никак, оно того стоит. поверь wink

Цитата
Если честно не сильно понял какую именно функцию выберать)


инфу нужно брать из обеих, чтобы сформировать тип, данные для имопорта, итд.


ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 20:51 | Сообщение # 40
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Цитата Anton93 ()
инфу нужно брать из обеих, чтобы сформировать тип, данные для имопорта, итд.

Не хочу мешаться, ну можно пример пожалуйста?)

Цитата Anton93 ()
да, муторно, но подругому никак, оно того стоит. поверь

Верю, скрыл одну длл - нод перестал пишать)
 
Anton93Дата: Четверг, 02.01.2014, 20:56 | Сообщение # 41
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Цитата
Не хочу мешаться, ну можно пример пожалуйста?)


для какой функции? happy


ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 21:41 | Сообщение # 42
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
смотри Сообщение # 38

Добавлено (02.01.2014, 21:41)
---------------------------------------------
Anton93, Уже не надо) разобрался - давольно таки легко, если способ работает с меня билдер шифрованых функций (сори ща ошибки =) )

 
Anton93Дата: Четверг, 02.01.2014, 22:52 | Сообщение # 43
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Цитата
Уже не надо) разобрался


молодец


ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 22:58 | Сообщение # 44
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93,
до: http://chk4me.com/check/public/4n3RfbgHqNs_46276U9IVD7 (там уже одна функция зашифрована)
после: http://chk4me.com/check/public/5UOk8dR7eu6Wb7M2D

Когда шифровал вызовы, понял что нельзя шифровать потоки (Ибо софт не успеевает расширофвать)

Авира осталась - что делать?)

Добавлено (02.01.2014, 22:58)
---------------------------------------------
Anton93, Осталось совсем чуть чуть, авира теперь говоит
Contains recognition pattern of the DR/Delphi.Gen dropper
Те она не уверена)

п/с Красивая ава - ты?)

 
Anton93Дата: Четверг, 02.01.2014, 23:00 | Сообщение # 45
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
d4rkzy, результат хороший. мои советы помогли.
теперь необходимо обфускацировать чтение exe файла из тела, который ты инжектишь


ICQ: 41896

Сообщение отредактировал Anton93 - Пятница, 03.01.2014, 14:24
 
d4rkzyДата: Четверг, 02.01.2014, 23:09 | Сообщение # 46
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Цитата Anton93 ()
теперь необходимо обфускацировать чтение exe файла из тела, который ты инжектишь

а точней?
Для теста у меня такой код был:

Добавлено (02.01.2014, 23:09)
---------------------------------------------
Anton93, Википедия помогла, теперь узнал что обсуфикаия это запутывание кода))
Подсказки будут по поводу запутки?))

 
Anton93Дата: Четверг, 02.01.2014, 23:17 | Сообщение # 47
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей

ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 23:20 | Сообщение # 48
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Окей щас сделаю. Ну и с заутыванием что?)
 
Anton93Дата: Четверг, 02.01.2014, 23:21 | Сообщение # 49
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
d4rkzy, это и есть запутывание smile

ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 23:28 | Сообщение # 50
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, biggrin Одну скрыл (руку еще не набил))))

Добавлено (02.01.2014, 23:28)
---------------------------------------------
новый скан - http://chk4me.com/check/public/qA8Z0_5wGBi59TfH76o7P8Qsy_63
стало только хуже

 
delfcode » Delphi » Вирусология Delphi » Полиморфизм в Delphi. А почему бы и нет? (Полиморфный вирус без ASM)
Страница 2 из 3«123»
Поиск:

delfcode.ru © 2008 - 2016 Хостинг от uCoz