Пятница, 15.12.2017, 18:45 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 212»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Способы сокрытия от антивирусов (Скрыться от антивируса)
Способы сокрытия от антивирусов
AndroidДата: Вторник, 27.12.2011, 15:40 | Сообщение # 1
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Товарищи, если использовать для своих личных целей на компе жертвы проги с компонентом TICQClient - некоторые антивирусы начинают ругаться. Поэтому надо маскироваться и скрываться... Почитал статью под названием "Методы выживания в мутной воде" (по названию легког находится в интернете). Сделал все как там описано... Все равно полученный экзешник палится 14 антивирями из 43 на вирустотале. Давайте обсудим каким образом можно уходить от детекта антивирусоами.
 
gravitasДата: Вторник, 27.12.2011, 18:17 | Сообщение # 2
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Я конечно потом сильно пожалею, что ответил на ваш вопрос... Киньте на форму компонент календарь (вкладку поищите в гугле).

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
AndroidДата: Вторник, 27.12.2011, 19:09 | Сообщение # 3
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
да я прекрасно понимаю, что той статье триста лет в обед. но суть вопроса не меняется. каким образом не спалиться?)?)?)
 
GReIIIHuKДата: Вторник, 27.12.2011, 20:13 | Сообщение # 4
Участник
Зарегистрирован: 15.05.2011
Группа: Пользователи
Сообщений: 98
Статус: Offline
Quote (gravitas)
Я конечно потом сильно пожалею, что ответил на ваш вопрос... Киньте на форму компонент календарь (вкладку поищите в гугле).

Видимо я один не в курсе? Просто связи не наблюдаю Т_Т


Skype:"greiiihuk."


Да, я преступник. Мое преступление — любопытство.
Быть может умру я, умрут многие, но идея останется жить навсегда.
Я работаю не только за спасибо.(+) ©
 
XSPYДата: Вторник, 27.12.2011, 20:17 | Сообщение # 5
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Android, перепиши его,или юзай другой способ=) вообще трой на компонентах,и чтобю не палился и весом мал был-муторное дело(реально сделать,отвечаю,но муторно).

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
AndroidДата: Вторник, 27.12.2011, 21:25 | Сообщение # 6
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
почему-то уходим от темы.... кто как скрывает себя от анвиров?)?)? товарищи, делимся опытом)))
 
XSPYДата: Вторник, 27.12.2011, 23:58 | Сообщение # 7
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Android, техник море)) обфускация,антиемуляторы и прочее...
приватные методы никто не расскажет-это хлеб людей,которые етим занимаються. cool


Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
GReIIIHuKДата: Среда, 28.12.2011, 12:25 | Сообщение # 8
Участник
Зарегистрирован: 15.05.2011
Группа: Пользователи
Сообщений: 98
Статус: Offline
Где то видел подобный вопрос, и ответы меня больше удивляли чем эти.
Ну там сказали нужно юзать "нупы".
Пример:
Code
procedure nop; assembler;
asm
PUSH EAX
NOP
POP EAX
end;


"и просто где нить поставь ее взов" (это цитата)
пустышки, бесполезные функции, ничего не делающие.
Они изменяют структуру программы.


Skype:"greiiihuk."


Да, я преступник. Мое преступление — любопытство.
Быть может умру я, умрут многие, но идея останется жить навсегда.
Я работаю не только за спасибо.(+) ©
 
gravitasДата: Среда, 28.12.2011, 12:29 | Сообщение # 9
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Quote (GReIIIHuK)
Видимо я один не в курсе? Просто связи не наблюдаю Т_Т

Как то раз случайно его на форму кинул и решил проверить на АВ. Результат удивил. Потом выяснил, что есть еще и другие компоненты уменьшающие палево (встроенные в дельфу), но все они давали больше веса, нежели календарь)


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
GReIIIHuKДата: Среда, 28.12.2011, 15:06 | Сообщение # 10
Участник
Зарегистрирован: 15.05.2011
Группа: Пользователи
Сообщений: 98
Статус: Offline
Quote (gravitas)
Как то раз случайно его на форму кинул и решил проверить на АВ. Результат удивил.

Интересно, надо будет проверить.
Да я вирусы то такие пишу, которые вообще не палятся))


Skype:"greiiihuk."


Да, я преступник. Мое преступление — любопытство.
Быть может умру я, умрут многие, но идея останется жить навсегда.
Я работаю не только за спасибо.(+) ©
 
Волк-1024Дата: Среда, 28.12.2011, 17:13 | Сообщение # 11
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Вирусы и трои на компонентах это весело...
Календарь уменьшающий палево тоже...

Уменьшает лишь он, наверное, из-за того что вместе с компонентом в код добавляется еще с десяток тысяч строк кода, который плюс к тому и увеличивает вес...

Но возможно рабочий метод crazy )))


Pascal, C\C++, Assembler, Python
 
dolphinДата: Среда, 28.12.2011, 17:28 | Сообщение # 12
Администратор
Сообщений: 902
Статус: Offline
Межу прочим метод с календарём довольно не плохой, для троянцев на мой взгляд он очень действенен в силу того что размер их и скорость работы не так важны как в вирусах, но вот для файловых вирусов метод конечно не годится, для них больше нужна криптовка, фейк апи, запутывание кода, обфускация, упаковка и т. д. А что касается icq клиента, то тут уж наверно этот вопрос может решить только криптовка с упаковкой на мой взгляд, вы ради интереса киньте на форму этот компонент и откройте полученный ехе в хекс редакторе и посмотрите сколько раз в нём встречается строка "icq" "TICQClient" и подобные, конечно у любого уважающего себя ав возникнут подозрения к тому же если форма программы ещё и скрыта. Но больше всего от чего зависит палевность софта это его функционал, чем больше в него начинаешь пихать подозрительных функций тем большем числом ав он начинает палиться, это по разрботке adicq очень хорошо прослеживается. Тут можно пробовать шифровать имена апи функций и загружать - выгружать нужные библиотеки именно когда это необходимо, использовать потоки и таймеры, вобщем нужно пробовать изголятся как только можно тогда будет результат.

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
Волк-1024Дата: Среда, 28.12.2011, 18:12 | Сообщение # 13
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Шифрование имен функций тоже может не помочь. Имена-то может и зашифрованы, но вызов их произойдёт самый что, ни на есть настоящий. И при сканирование исп. файла АВ может и пропустить его, но при его исполнении спалит по полной эвристика. Например, ни одному АВ не понравится последовательность вызовов: сначала UrlDownloadFile, а затем ShellExcute... (может я и ошибаюсь).

Pascal, C\C++, Assembler, Python
 
IgorChekunДата: Среда, 28.12.2011, 22:00 | Сообщение # 14
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
А что лучше, скрыться от антивируса\фаервола или попытаться их вырубить\заменить(фейком)? smile
 
Волк-1024Дата: Среда, 28.12.2011, 22:03 | Сообщение # 15
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Вырубить естественно. Это самый медовый вариант и самый трудный. Гораздо проще улизнуть от него.

Pascal, C\C++, Assembler, Python
 
IgorChekunДата: Среда, 28.12.2011, 23:21 | Сообщение # 16
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Я так понимаю, что если взять сторону "вырубить", то придётся для каждого антивируса отдельно искать обходы, а если скрываться, то можно пару тройкой методами?
 
Волк-1024Дата: Среда, 28.12.2011, 23:42 | Сообщение # 17
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Совершенно верно.

Pascal, C\C++, Assembler, Python
 
IgorChekunДата: Четверг, 29.12.2011, 00:14 | Сообщение # 18
Был не раз
Зарегистрирован: 26.12.2011
Группа: Пользователи
Сообщений: 20
Статус: Offline
Ну мне нужно написать под конкретного человека, обойти Eset, локальная сеть, флеха, ноут. Думаю хорошая практика будет.
 
XSPYДата: Четверг, 29.12.2011, 03:01 | Сообщение # 19
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
вы че?компонентами скрываться от АВ?бррр....
А ежели допустим,вы захотите в трое сделать по календарю там,отстук или запуск задачи.а палиться календарь,м?хотя кончено,я не спорю-Get Tick COunt&GetDate\Time...но все-же..


Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
AndroidДата: Четверг, 29.12.2011, 19:36 | Сообщение # 20
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
блин... да что ж вы все лирику разводите? все прекрасно понимают, что клево убить АВ и фаер, что модно попытаться улизнуть... А ГДЕ КОНКРЕТНЫЕ ПОБУЖДЕНИЯ К ДЕЙСТВИЯМ?)?)?)?)?)?)?)?)?)? Как это осуществить?? Вопрос не в том ЧТО сделать, а том КАК сделать... Никто внятно ответить не может... А ведь сайт посвящен именно этому... Разве не так?
 
Волк-1024Дата: Четверг, 29.12.2011, 20:13 | Сообщение # 21
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Например, полезно не использовать таблицу импорта, а получать их динамически. Т.е сначала получаем из PEB базу kernel32 далее парсим её таблицу экспорта на предмет нахождения функций GetProcAddress и LoadLibrary. Получаем их адрес и юзаем. Побуждения - (Код в разработке).

Pascal, C\C++, Assembler, Python
 
dolphinДата: Четверг, 29.12.2011, 20:32 | Сообщение # 22
Администратор
Сообщений: 902
Статус: Offline
Quote (Волк-1024)
Шифрование имен функций тоже может не помочь. Имена-то может и зашифрованы, но вызов их произойдёт самый что, ни на есть настоящий. И при сканирование исп. файла АВ может и пропустить его, но при его исполнении спалит по полной эвристика. Например, ни одному АВ не понравится последовательность вызовов: сначала UrlDownloadFile, а затем ShellExcute... (может я и ошибаюсь).


Да, если брать лудер как частный случай, здесь такой способ не пройдёт, он спалится эвристикой, а вот если просто просканировать то ничего обнаружено не будет.

Android,

Вот тебе пару примеров кода если уж наша лирика не помогает

Антиотладка

Доступно только для пользователей

Ну с календарём всё просто он на win32 находится (у меня delphi 7)

Пример запутывания кода

Доступно только для пользователей

Шифрованные вызовы пример такой

Доступно только для пользователей

фейковые вызовы например

Доступно только для пользователей

Ну или защита долгим циклом что то вроде

Доступно только для пользователей

В принцепе всё что я написал можно найти в интернете ничего особенного в этом нет cool


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
AndroidДата: Четверг, 29.12.2011, 23:17 | Сообщение # 23
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Вот этот пост куда более информативен, чем все предыдущие вместе взятые. Давайте разбираться вместе. АнтиДебаг нужен, чтоб уйти от эвристики? С запутыванием кода вроде не все так просто. Вроде как компилятор может повыбрасывать бесполезные вычисления. Тут должен быть вроде тонкий момент, что значения надо использовать как-то... С шифрованым вызовом... Можно ли как-то шифровать в самом экзешнике функции, чтоб не палились? Объясните для чего "фейковый вызов" ))) Совсем не понял для чего... А длинный цикл не загубит ли саму прожку при нормальном выполнении??? То есть на компе совсем без анвира???

Ребята, давайте бурно обсудим.)
 
Волк-1024Дата: Пятница, 30.12.2011, 00:09 | Сообщение # 24
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Насчет АнтиДебага. Да. Он полезен для обхода эмулятора АВ (или как там его не помню).

P.S. Меня особо умиляет этот способ:

Code

_Fuck_DBG:

             in  al, 21h
             int 3h
             jmp _Fuck_DBG


Правда это больше подходит для анти ручной отладки, чем защита от АВ.

Quote
А длинный цикл не загубит ли саму прожку при нормальном выполнении???


Нет. Не должен, во всяком случае )), если его выполнять в стороннем потоке.

Еще где-то я читал или слышал, что АВ пропускает места, где циклы или различные задержки выполняются дольше положенного. Тем самым, например АВ может пропустить выполнение вредоносной функции, которая идет после цикла.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 01:27
 
dolphinДата: Пятница, 30.12.2011, 00:51 | Сообщение # 25
Администратор
Сообщений: 902
Статус: Offline
1.
Антиотладка как бы повышает вероятность программы не быть прочитанной ав. Но способ который я привёл самый простой, на эту тему можно думаю чтонибудь найти попрогрессивнее, пользуются ей примерно так

Доступно только для пользователей

То есть вставляют беспорядочно в код.

2.
Запутывание и замусоревание кода так же можно рандомно вставлять, а чтобы компиллер не выкидывал код нужно отключать оптимизацию, помойму это директива O+ O-
если хочешь использовать как то эти значения то можно сделать примерно так

Доступно только для пользователей

Не сильно но помогает.

3.
Шифрование функций - я показал пример, в коде они не будут видны. Для справки открой любой ехе хекс редактором и посмотри в конце файла будут записаны имена функций которые использует программа, так вот после зашифровки ты их не увидишь, вот в чём плюс, но минус в том что эвристика всё равно увидит обращение к ним.

4.
Фейковые вызовы это как бы наполнение программы функциями и процедурами которые отвлекают внимание ав от нужных нам, так же они повышают вероятность что эвристика не сработает

например проверьте на существование несуществующие файлы

Доступно только для пользователей

можно ещё поэксперементировать с функциями из юзер32 библиотеки они тоже хорошо отвлекут внимание
например InflateRect,InsertMenu,IsWindowVisible и другие, смотрите описание функций и как ими пользоваться.

5.
Длинные циклы тоже не очень любят ав. примените фантазию и можно сложить несколько способов в один

Доступно только для пользователей

Может я в чём то и ошибся, поправьте если что.


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик


Сообщение отредактировал dolphin - Пятница, 30.12.2011, 00:54
 
delfcode » Delphi » Вирусология Delphi » Способы сокрытия от антивирусов (Скрыться от антивируса)
Страница 1 из 212»
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz