Воскресенье, 16.12.2018, 20:37 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 3 из 3
  • «
  • 1
  • 2
  • 3
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx  
delfcode » Delphi » Вирусология Delphi » Полиморфизм в Delphi. А почему бы и нет? (Полиморфный вирус без ASM)
Полиморфизм в Delphi. А почему бы и нет?
Anton93Дата: Четверг, 02.01.2014, 23:34 | Сообщение # 51
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
бывает)) тут надо играться с функциями)) к примеру та функция, которую давал для примера выше - NUVS, тоже адово портила результаты. я откатывал, и работал дальше, а можно и без отката) просто усложнил вызов и дало вдвойне лучше результат)
в общем - эксперементируй))


ICQ: 41896
 
d4rkzyДата: Четверг, 02.01.2014, 23:39 | Сообщение # 52
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Ну биг thanks за то что обучил меня прятать вызовы)))
Думаю на этом стоит прощ ..
Парапам супер игра, как работает полиморф?)
Те файл запускают, файл делает свое дело и после перезаписывает свой ехе шник (меняет ключ шифрования, меняет точку входа в файл и тк?) тоесть просто перезаписывает себя)
 
Anton93Дата: Четверг, 02.01.2014, 23:52 | Сообщение # 53
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
ахах) убило) до супер игры еще дойти надо

ICQ: 41896
 
d4rkzyДата: Пятница, 03.01.2014, 00:04 | Сообщение # 54
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, :((( Мне нужны твои знания что бы убить авиру - помогай пожалуйста)))
 
Anton93Дата: Пятница, 03.01.2014, 00:14 | Сообщение # 55
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
d4rkzy, ты же хотел уже прощаться?)

Цитата
Мне нужны твои знания что бы убить авиру - помогай пожалуйста


вынесло напрочь biggrin biggrin biggrin

подсказка уже была выше если что)


ICQ: 41896
 
d4rkzyДата: Пятница, 03.01.2014, 00:18 | Сообщение # 56
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, не хчу читать,хочу код который уберет авиру)))
Да шучу) Спасибо большее за помощь =) Даже не догадывался что дллки можно шифровать при вызове)
Можно скайп твой?:)
 
HargenДата: Суббота, 04.01.2014, 17:28 | Сообщение # 57
Участник
Зарегистрирован: 08.05.2013
Группа: Пользователи
Сообщений: 66
Статус: Offline
Есть идейка - использовать для хранения данных числа с плавающей точкой - эмуль при попытки их обработать может терять значащие цифры и получать левый результат

Главное - не изобретать велосипед

 
Anton93Дата: Суббота, 04.01.2014, 17:40 | Сообщение # 58
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Hargen, хм, никогда про это не слышал. но это спасет только на этапе сканирования. когда анализатор запустится после выпуска в реальную среду - запалит мне кажется

ICQ: 41896
 
d4rkzyДата: Среда, 22.01.2014, 00:08 | Сообщение # 59
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Так, спустя некоторое время решился все таки опять начать работу над криптером, в итоге сканы меня радуют как конфеты радуют детей. (Педофильская фраза получилась ну да ладно)

Авира сдалась, мне пришлось это не легко, ну она сдалась. Вообщем решил проблемы с ней благодаря Ассамблеру (Переписал GetProcAddress функцию)
В итоге скан 1/24 - http://chk4me.com/check/public/94t1308Z10fyO9Rh2Bq2rpck45A7I49_
clamav не считаю, ибо проблема решается простым удалением ресурса из ехе (Детект из за дельфи компилятора, ага, этот ав совсем сдурел своими мега функциями if pos('delphi') then showmessage('TROJAN.DELPHI'); (Скорей всего сделали такую штуку из за массива вирусов на дельфи (Спасибо школьникам за это)

Теперь можно качать антивирусы на комп и проверять рантайм =)))) и после на flat asm переписывать =)))

Добавлено (22.01.2014, 00:08)
---------------------------------------------
Так же хочу выразить огромное Спасибо человек с ником Anton93. Ибо он такой няшный мужик который расказал мне про шифрование вызовов=))))

 
Anton93Дата: Суббота, 25.01.2014, 22:41 | Сообщение # 60
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Доступно только для пользователей
Прикрепления: 6536179.png(9.2 Kb)


ICQ: 41896

Сообщение отредактировал Anton93 - Суббота, 25.01.2014, 22:50
 
gadyaДата: Воскресенье, 26.01.2014, 00:03 | Сообщение # 61
Новичок
Зарегистрирован: 22.01.2014
Группа: Пользователи
Сообщений: 1
Статус: Offline
Приветствую. Читал топик от корки до корки. Очень много нового узнал и использовал в новом проекте, автору - ОГРОМНОЕ СПАСИБО!
 
d4rkzyДата: Воскресенье, 26.01.2014, 01:11 | Сообщение # 62
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Anton93, Молодец, аж слов нет) Сорцы будут?)))
 
VBДата: Вторник, 29.04.2014, 16:13 | Сообщение # 63
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
Классный результать
Цитата Anton93 ()
Финальный скан проекта.
На данный момент результат такой же?
 
xXxSh@dowxXxДата: Вторник, 29.04.2014, 17:44 | Сообщение # 64
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата d4rkzy ()
Сорцы будут?

Сорцы скорее всего пока в жестком привате, но думаю Anton93 может подумать над тем что бы продать свои наработки за хорошую плату, поговорите с ним на эту тему если Вам это интересно.
 
d4rkzyДата: Среда, 05.08.2015, 17:01 | Сообщение # 65
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Апну. Спустя год, или полгода?) Начал писать криптер вновь, ну уже с большими знаниями о АВ в целом.
Ниже скан стаба с заряженной боеголовкой. Дельфи - размер стаба 16кб (uses windows) - можно убрать, но пока что так.

Антону большое спасибо за статью, и за его ответы на мои вопросы!

 
xXxSh@dowxXxДата: Среда, 05.08.2015, 18:11 | Сообщение # 66
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата d4rkzy ()
Ниже скан стаба с заряженной боеголовкой.

Хм, интересно, молодец wink
 
delfcode » Delphi » Вирусология Delphi » Полиморфизм в Delphi. А почему бы и нет? (Полиморфный вирус без ASM)
  • Страница 3 из 3
  • «
  • 1
  • 2
  • 3
Поиск:

delfcode.ru © 2008 - 2018 Хостинг от uCoz