Четверг, 22.06.2017, 15:06 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 3 из 4«1234»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Добавление в автозагрузку (Work on Windows 7!)
Добавление в автозагрузку
xXxSh@dowxXxДата: Суббота, 05.05.2012, 07:34 | Сообщение # 51
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
читал на www.xakep.ru, не помню какой номер, в 2011 году был написан коммерческий (сделанный специально на заказ с целью выведать информацию у конкурента) вирус, соберающий информацию с баз данных, так вот, его беспалевность работы в том же реестре и прочих системных папках осуществлялась за счет того что программер который его написал использовал легальную, действующую цифровую подпись от Realtek, фирмы разрабатывающей программное обеспечение и драйвера для звукового оборудования, до сих пор идут споры о том как эта цифровая подпись к нему попала smile

метод конечно сложный, но выполнимый, я как то раньше уже задумывался над этим...

Marra_Kesh
не знаю как у тебя но у меня на многие, даже легальные программы антивирь все равно запрашивает действие, разрешить или запретить запись в реестре.., то есть не такие уж они и беспалевные...


Сообщение отредактировал xXxSh@dowxXx - Суббота, 05.05.2012, 07:38
 
n0pДата: Пятница, 26.10.2012, 15:22 | Сообщение # 52
Новичок
Зарегистрирован: 26.10.2012
Группа: Пользователи
Сообщений: 2
Статус: Offline
Ребят, так все забили? Получилось чего сделать? А то тоже с этим каспером мучаюсь
 
xXxSh@dowxXxДата: Пятница, 26.10.2012, 15:27 | Сообщение # 53
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
n0p если раздабудешь где нибудь официальную цифровую подпись и сумеешь её прикрутить к своей программе, то антивири замулкнут...!
 
n0pДата: Суббота, 27.10.2012, 14:15 | Сообщение # 54
Новичок
Зарегистрирован: 26.10.2012
Группа: Пользователи
Сообщений: 2
Статус: Offline
Quote (xXxSh@dowxXx)
n0p если раздабудешь где нибудь официальную цифровую подпись и сумеешь её прикрутить к своей программе, то антивири замулкнут...!

мне кажется это ерунда. 100500 программ добавляют себя в автозагрузку и только единицы заморачиваются с подписями.

А мне каспер в некоторые вообще ветки писать запрещает..


Сообщение отредактировал n0p - Суббота, 27.10.2012, 14:15
 
xXxSh@dowxXxДата: Суббота, 27.10.2012, 19:04 | Сообщение # 55
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (n0p)
мне кажется это ерунда. 100500 программ добавляют себя в автозагрузку и только единицы заморачиваются с подписями.


ага и все эти 100500 программ каспер и некоторые другие антивири блокируют, а те единицы пропускает, тебе же это нужно?
 
Anton93Дата: Суббота, 15.06.2013, 15:08 | Сообщение # 56
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Ребят, а обязательно свое тело копировать именно туда?
Можно создать ярлык в папке с автозагрузкой, выставить ему скрытые свойства а само тело кинуть например в GetSpecialPath($28), думаю сработает, хотя я использую другую технику в этом случае.
У касперского, например, эвристика банально смотрит на то что файл самокопируется байт в байт и регистрируется в 'примитивных ветках/папках загрузки', избежать этого можно кучей способов. Вне всякого сомнения, человек думающий, поймет в каком направлении надо двигаться.
Скажу лишь основываясь на собственном опыте, обойти эвристику в последнем каспесрком, который я качал на днях для тестов, не так уж и трудно в этом плане.


ICQ: 41896
 
xXxSh@dowxXxДата: Суббота, 15.06.2013, 17:49 | Сообщение # 57
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата (Anton93)
У касперского, например, эвристика банально смотрит на то что файл самокопируется байт в байт и регистрируется в 'примитивных ветках/папках загрузки', избежать этого можно кучей способов.


Обход проверки различных областей загрузки и автозапуска это лишь малая часть дела, куда важнее стоит задача обойти эвристику в момент запуска и начала выполнения кода, когда тот же каспер начинает реагировать на все неведомые ему действия программы, да он конечно не реагирует на программу как на вирус, а всего лишь указывает пользователю на то что какая то новая программа выполняет определенные действия, если Вас это вполне устраивает то это Ваше дело, а для меня наилучшим результатом всегда оставался, остается и будет оставаться абсолютно безпалевный запуск и выполнение кода программы, что бы ни один из возможных АВ ничего не заметил, конечно тут можно поэкспериментировать с автозапуском и попытаться запустить программу раньше чем стартанет АВ, но это не всегда срабатывает.


Сообщение отредактировал xXxSh@dowxXx - Суббота, 15.06.2013, 17:57
 
Anton93Дата: Суббота, 15.06.2013, 23:02 | Сообщение # 58
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
xXxSh@dowxXx, Вы забегаете вперед, я ответил лишь о добавлении в автозагрузку, про другие действия, на которые реагирует каспер, надо рассматривать отдельно happy
Выше идея была предложена о сертификатах. Кто в теме вирусы мирового уровня такие как Stuxnet, Flame и Gauss использовали как раз подписи, благодаря чему их разработчики не парились об инсталле и в наглую добавляли ветки реестра сервисов (и это тоже жеско палится кстати без подписей).
Цитата
если Вас это вполне устраивает то это Ваше дело

с чего вы взяли то? я как раз и работаю над этим и провожу тестирование на нескольких антивирусах чтобы убедиться в 100% безотказности кода, о чем упомянул поверхностно в предыдущем посте


ICQ: 41896
 
xXxSh@dowxXxДата: Воскресенье, 16.06.2013, 00:22 | Сообщение # 59
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
ОФФТОП:
 
Don_DiegoДата: Воскресенье, 16.06.2013, 10:26 | Сообщение # 60
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Цитата (Anton93)
Выше идея была предложена о сертификатах. Кто в теме вирусы мирового уровня такие как Stuxnet, Flame и Gauss использовали как раз подписи, благодаря чему их разработчики не парились об инсталле и в наглую добавляли ветки реестра сервисов (и это тоже жеско палится кстати без подписей).

Есть идеи где взять такие сертификаты? smile
 
Anton93Дата: Воскресенье, 16.06.2013, 13:40 | Сообщение # 61
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Don_Diego, только украсть. покупать это дорого, да и оформляют на человека или лицо насколько я знаю. оформишь вот так и придут к тебе домой happy

ICQ: 41896
 
VolfДата: Среда, 26.06.2013, 02:06 | Сообщение # 62
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
Anton93 ты можешь на своем компе спокойно создать сертификат и подписать им exe только толку от этого мало будет.тут как раз фишка с%%%ть сертификат известной компании и им подписать своего зверя.
 
xXxSh@dowxXxДата: Среда, 26.06.2013, 10:50 | Сообщение # 63
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
А есть ли какая нибудь возможность вырвать подпись из какого либо уже подписанного файла, и немного её видоизменить, что бы припаять её к своему файлу?

Сообщение отредактировал xXxSh@dowxXx - Среда, 26.06.2013, 10:52
 
Anton93Дата: Среда, 26.06.2013, 12:32 | Сообщение # 64
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Volf, я знаю, поэтому пишу про кражу. для популярных вирусов крались сертификаты для безотказности
xXxSh@dowxXx, думаю это не просто если возможно. иначе бы все давно доставали. скорее всего там хэш-суммы и к чужому файлу они не подойдут


ICQ: 41896
 
XSPYДата: Среда, 26.06.2013, 23:58 | Сообщение # 65
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
украсть можно,но там трудность будет в факторизации и новом подсчете хешей...

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
VerKlimДата: Пятница, 14.03.2014, 09:10 | Сообщение # 66
Был не раз
Зарегистрирован: 09.03.2014
Группа: Пользователи
Сообщений: 6
Статус: Offline
А что если запустить из нашего процесса программу имеющую цифровую подпись, ну скажем Калькулятор, заинжектиться в нее и из нее сделать запись в реестр в автозагрузку ??

Добавлено (14.03.2014, 09:10)
---------------------------------------------
1 ночь размышлений и Вот оно smile
Есть способ добавлять программу в автозагрузку (проверено на Win7 но я думаю и на других версиях будет работать) и Касперский (последняя версия с сайта, базы обновлены вчера) молчит smile и без проблем все разрешает.
Способ настолько банален и прост что даже смешно но все работает, в коде добавилось всего 2 строки.
Кому из "Продвинутых" интересно расскажу в личку. В паблик выкладывать не буду, использую в своем проекте.

 
StertorДата: Пятница, 14.03.2014, 19:30 | Сообщение # 67
Группа: Удаленные



в автозагрузку (речь о папке) можно скопироваться совершенно без проблем, как и записать ключ в реестр. В чем трудности то?
Проблема в том, что это плохой путь, т.к. мало-мальски опытный юзер сразу полезет туда.

Цитата
А что если запустить из нашего процесса программу имеющую цифровую подпись, ну скажем Калькулятор, заинжектиться в нее и из нее сделать запись в реестр в автозагрузку ??


А что мешает инжектиться к Проводнику?


Сообщение отредактировал Stertor - Пятница, 14.03.2014, 19:37
 
VerKlimДата: Пятница, 14.03.2014, 21:02 | Сообщение # 68
Был не раз
Зарегистрирован: 09.03.2014
Группа: Пользователи
Сообщений: 6
Статус: Offline
Цитата Stertor ()
как и записать ключ в реестр


Перед запуском программы Касперский определяет ее как нормальную, но когда программа пытается прописаться в автозагрузку в реестре (естественно не имея цифровой подписи) Касперский видит запись в реестр в определенные ключи (в группу автозапуска, по всем веткам), детектирует программу как вредоносную, удаляет программу и откатывает изменения сделанные в реестре.


Сообщение отредактировал VerKlim - Пятница, 14.03.2014, 21:03
 
xXxSh@dowxXxДата: Суббота, 15.03.2014, 13:16 | Сообщение # 69
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата VerKlim ()
Есть способ добавлять программу в автозагрузку (проверено на Win7 но я думаю и на других версиях будет работать) и Касперский (последняя версия с сайта, базы обновлены вчера) молчит smile и без проблем все разрешает.

Интересно было бы поглядеть на тесты с Каспером, мой так все подряд блочит, сам как то пробовал методом инжекта в сертифицированные процессы.

Цитата VerKlim ()
Перед запуском программы Касперский определяет ее как нормальную, но когда программа пытается прописаться в автозагрузку в реестре (естественно не имея цифровой подписи) Касперский видит запись в реестр в определенные ключи (в группу автозапуска, по всем веткам), детектирует программу как вредоносную, удаляет программу и откатывает изменения сделанные в реестре.


ну скажем так, не удаляет её сразу, у меня например стоит вывод уведомления, что бы я сам мог решить что с ней сделать, но в общем да, так и есть!

___________________
...пару часов спустя...

VerKlim проверил твой метод, к сожалению на ХР с моим каспером не получился такой фокус, его эвристика активно отработала, но все же за попытку тебе +


Сообщение отредактировал xXxSh@dowxXx - Суббота, 15.03.2014, 15:08
 
StertorДата: Суббота, 15.03.2014, 16:58 | Сообщение # 70
Группа: Удаленные



Касперский мониторит реестр только с включенной проактивкой, а по умолчанию она выключена. Если у юзера включена проактивка, то можно рассчитывать только на методы соц. инженерии, ибо проактивка не даст вам ничего сделать с реестром. Но еще раз повторяю: у большинства юзеров она выключена - многие даже не знают о ее существовании. Те же, кто знают, выключают/не включают вообще, так как всплывающее окошко сильно надоедает.

Сообщение отредактировал Stertor - Суббота, 15.03.2014, 17:01
 
VerKlimДата: Суббота, 15.03.2014, 22:23 | Сообщение # 71
Был не раз
Зарегистрирован: 09.03.2014
Группа: Пользователи
Сообщений: 6
Статус: Offline
У меня Касперский установлен 4 дня назад, с дефолтными настройками, реестр палиться, точнее паляться записи в некоторые ключи, в частности все ключи автозагрузки. Касперский Crystal тоже палит все автозагрузку.
 
StertorДата: Суббота, 15.03.2014, 23:54 | Сообщение # 72
Группа: Удаленные



Печалька ((( Раньше такого не было. А если скопироваться в папку автозагрузки, тоже палит?
 
VerKlimДата: Воскресенье, 16.03.2014, 00:29 | Сообщение # 73
Был не раз
Зарегистрирован: 09.03.2014
Группа: Пользователи
Сообщений: 6
Статус: Offline
Да
 
StertorДата: Понедельник, 17.03.2014, 16:03 | Сообщение # 74
Группа: Удаленные



Вчера экспериментировал с антивирусами на виртуальной машине. Действительно, теперь по-умолчанию проактивка включена ((
Но тем не менее, я нашел способ добавиться в автозагрузку. Если кого-то интересует - в личку.
 
xXxSh@dowxXxДата: Вторник, 18.03.2014, 14:54 | Сообщение # 75
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Stertor ()
Но тем не менее, я нашел способ добавиться в автозагрузку


Интересно конечно, но что то мне опять подсказывает что с моим АВ опять ничего не получится сделать biggrin
 
delfcode » Delphi » Вирусология Delphi » Добавление в автозагрузку (Work on Windows 7!)
Страница 3 из 4«1234»
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz