Среда, 26.07.2017, 01:45 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Обход касперского
Обход касперского
C@TДата: Воскресенье, 10.06.2012, 02:23 | Сообщение # 1
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
возникла проблема, проактивка касперского блочит прогу когда она пытается скопироваться и записать себя в реестр, получается обойти если скопировать и записать в реестр другую прогу(выписанную из себя) , но этот метод немножко не красивый, у кого какие еще есть идеи ?

P.S я склонялся в сторону инжектов, но они тоже вродебы им блочатся smile
 
xXxSh@dowxXxДата: Воскресенье, 10.06.2012, 09:41 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
C@T именно так, хоть и метод не красивый, но я пока именно так и использую...
 
C@TДата: Воскресенье, 10.06.2012, 13:38 | Сообщение # 3
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
да метод то не то что не крассивый, а просто не удобный, вот смотри, если на компе вкюлченна UAC, то если выписать из себя ехе файл и запустить его то он уже не будет с правами админа(даже если наш ехе запущен с правами админа) , или же я ошибаюсь ? dry
 
Волк-1024Дата: Воскресенье, 10.06.2012, 14:01 | Сообщение # 4
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Как Касперыч палит прогу т.е сигнатурно, эвристикой, эмулятором? Какое название у детекта, который он выдаёт на прогу?

Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 19:43
 
xXxSh@dowxXxДата: Воскресенье, 10.06.2012, 19:35 | Сообщение # 5
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Волк-1024 самокопирование это полюбому скорее всего эвристика, иначе и быть не может, если софт новый с нуля написан, хотя...

Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 10.06.2012, 19:36
 
XSPYДата: Воскресенье, 10.06.2012, 23:16 | Сообщение # 6
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
ошибаетесь,это дело как раз емулятора!
C@T, тоесть выписать из себя?Из ресурсов дропаеться на диск так?
 
C@TДата: Воскресенье, 10.06.2012, 23:37 | Сообщение # 7
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (XSPY)
C@T, тоесть выписать из себя?Из ресурсов дропаеться на диск так?

да smile

Quote (Волк-1024)
Как Касперыч палит прогу т.е сигнатурно, эвристикой, эмулятором? Какое название у детекта, который он выдаёт на прогу?


сам ехе файл то он не палит, палится процесс записи в автозагрузку и копирования, т.е он просто сообщает что это приложение залазит в автозагрузку и блокирует его, т.е у него срабатывает фаервол
 
Волк-1024Дата: Воскресенье, 10.06.2012, 23:40 | Сообщение # 8
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Quote
залазит в автозагрузку и блокирует его, т.е у него срабатывает фаервол
Значит эвристика (поведенческий анализ скорее всего) ну или фаер. Ибо эмулятор должен сработать до запуска файла (протрассировать(эмулировать) код и посмотреть, что он делает). Как вариант переписать код добавления реестр.


Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 23:53
 
xXxSh@dowxXxДата: Понедельник, 11.06.2012, 09:06 | Сообщение # 9
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
По поводу автозагрузки, Каспер всегда будет палить все более менее известные способы автозапуска, с недавних пор палится даже создание службы для автозапуска, так что да, Волк-1024 правильно говорит, нужно переписывать каким то макаром сам код добавления, но как мне кажется, с автозапуском через реестр каспера врят ли обойдешь, если только не добавить в приложение сертификат подлинности...
 
Волк-1024Дата: Понедельник, 11.06.2012, 17:56 | Сообщение # 10
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Я обошел Касперыча и AVG вот так
Примитивно, но работает biggrin



Правда, обойтёт только в том случае, если палит емулятор.


Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 18:02
 
xXxSh@dowxXxДата: Понедельник, 11.06.2012, 20:20 | Сообщение # 11
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Волк-1024)
Примитивно, но работает


это код загрузки длл ?
 
Волк-1024Дата: Понедельник, 11.06.2012, 20:38 | Сообщение # 12
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Не совсем.

Code

                 DB 73H        
                 DB 68H        
                 DB 69H        
                 DB 74H        
                 DB 2EH        
                 DB 64H        
                 DB 6CH        
                 DB 6CH        
                 DB 0H   

Это shit.dll

Всё основано на том, что эмулятор Каспера не будет знать, что такой библиотеки не существует, поэтому он LoadLibrary вернёт больше ноля. Но т.к такой либы нет, то можно предположить, что код находится под эмулятором. Если запустить код не под эмулятором, то LoadLibrary вернёт 0, а GetLastError ERROR_MOD_NOT_FOUND и значит можно выполнять дальше код. Сейчас большинство таких примеров уже не фурычат, нужны гораздо более продвинутые технологии антиэмуляции.


Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 21:51
 
C@TДата: Понедельник, 11.06.2012, 20:50 | Сообщение # 13
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
по коду:
удобней писать не
Code
@LibName:    
               DB 73H    
               DB 68H    
               DB 69H    
               DB 74H    
               DB 2EH    
               DB 64H    
               DB 6CH    
               DB 6CH    
               DB 0H   


, а

Code
@LibName:  
db 'shit.dll',0h


и способ не обойдет нормальный эмулятор кода(они и API функции и импорты из длл трассировать могут)

а по делу, проблема была в том что фаер касперского блочит ехе файл(сам по себе файл не палится)

я вот подумал, код с тем чтобы выписать из себя ехе(извлечь из "ресурсов") вродебы рабочий, ведь можно просто запустить маленькую ехе-ку написанную на асме+UPX(1кб весом) которая просто запишет нужный нам ехе файл в реестр и скопирует его куда надо, но возникает проблема в том что если вдруг у юзера включена UAC , наш процесс был запущен от имени администратора(не важно как) и когда мы попытаемся запустить другой ехе файл то у него может не быть столько же прав как и у нашего ехе(его порежит UAC), правда я не проверял режит ли UAC права запущенному ехе или же оставляет ему такие же права
 
Волк-1024Дата: Понедельник, 11.06.2012, 21:40 | Сообщение # 14
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
C UAC'ом можно попробовать манифест.

Quote
и способ не обойдет нормальный эмулятор кода(они и API функции и импорты из длл трассировать могут)


Не так поняли. Я имел ввиду, что Касперыч не знает про существование этой длл, а её и не должно быть. Эмулятор Касперыча вернёт, что она существует, и из этого будет следовать, что по коду прошелся эмулятор, поэтому функция FuckAV вернёт false. Если эмулироваться код не будет, то LoadLibrary вернёт 0, а GetLastError
ERROR_MOD_NOT_FOUND. Из этого следует, что код не был проэмулировани и функция FuckAV вернёт true.


Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 21:45
 
C@TДата: Вторник, 12.06.2012, 00:05 | Сообщение # 15
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (Волк-1024)
C UAC'ом можно попробовать манифест.

нельзя манифест пихать в выгружаемую программу, лишнее палево

Quote (Волк-1024)
Не так поняли. Я имел ввиду, что Касперыч не знает про существование этой длл, а её и не должно быть. Эмулятор Касперыча вернёт, что она существует, и из этого будет следовать, что по коду прошелся эмулятор, поэтому функция FuckAV вернёт false. Если эмулироваться код не будет, то LoadLibrary вернёт 0, а GetLastError
ERROR_MOD_NOT_FOUND. Из этого следует, что код не был проэмулировани и функция FuckAV вернёт true.


что то мне всегда казалось что он и вернет что ее нету, ну т.е нормальный эмулятор бы вернул что ее нету(например эмулятор нода этим не обойдешь)
 
vvova15Дата: Среда, 13.06.2012, 18:39 | Сообщение # 16
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
вроде некоторые авири не умеют эмулировать SSE3, можно воспользоваться этим...
а на счет манифеста то это вроде не актуально уже... все равно табличка вылетит
 
PitonДата: Воскресенье, 16.11.2014, 20:05 | Сообщение # 17
Новичок
Зарегистрирован: 16.11.2014
Группа: Пользователи
Сообщений: 1
Статус: Offline
Всем привет, не так давно столкнулся с проблемой с появлением новой функции Касперского "Защита ввода данных с аппаратной клавиатуры". Теперь мой кейлоггер напрочь отказывается видеть ввод паролей. angry У кого есть какие-нибудь соображения по поводу обхода этой защиты???
 
Anton93Дата: Понедельник, 17.11.2014, 08:47 | Сообщение # 18
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Piton, при включенной этой функции, все изолируется драйвером на уровне ядра.

решение:
загрузиться раньше их драйвера, например буткитом smile


ICQ: 41896
 
xXxSh@dowxXxДата: Среда, 04.02.2015, 21:30 | Сообщение # 19
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Всем снова здрасте!

И я пожалуй, с позволения коллег по цеху, а именно Волк-1024 и C@T, продолжу тему проблемных мест в защите одного из самых популярных топовых антивирусов - Касперского.
На днях ребята подсказали мне что старая добрая бага, которая казалось бы уже давно должна быть забыта, вернулась к нам из недр бытия далеких 2000х годов.

Описание:
Речь идет о переводе "даты и времени" в операционной системе под защитой Kaspersky Internet Security и Kaspersky Total Security !!!
(мною тестировалось на Windows XP \ Windows 7 с использованием указанных АВ последних, актуальных на данный момент, версий)

Эксплуатация:
Если перевести "дату и время" в ОС на необходимое количество (под "необходимым количеством" понимается время чуть большее чем то что осталось до окончания срока действующей лицензии) месяцев вперед (именно вперед, а не назад!), то через какое то время (примерно от 30 сек. - до 5 мин.) АВ выдаст сообщение об истекшем сроке лицензии, тем самым мы частично теряем работоспособность модуля защиты нашего АВ...

НО И ЭТО ЕЩЕ НЕ ВСЕ !!!

в случае с Kaspersky Total Security (15.0.1.415(b)):

после того как АВ отключил защиту, если вернуть время обратно, то АВ выгрузит сам себя из памяти завершив свою работу biggrin
(данное поведение Каспера меня вобще убило wacko )

в случае с Kaspersky Internet Security (2015):

сам лично не проверял, но со слов тех, кто тестировал именно на нем - лицензия слетает точно так же, но вроде как выгрузки из памяти, при обратном восстановлении "даты и времени", не произошло.

Вывод:
Исходя их этого можно лишь представить с какой легкостью "вирусмейкеры" могут парой строчек кода избавить систему (под управлением Windows) от защиты, предоставляемой этими двумя продуктами "лаборатории Касперского", вот и думай теперь, а на дворе уже 2015 год, сколько воды утекло с тех пор как эту проблему с переводом часов размусолили вдоль и поперек, а толку, как выяснилось в итоге, никакого!
 
Anton93Дата: Среда, 04.02.2015, 22:49 | Сообщение # 20
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
xXxSh@dowxXx, блин, ты хоть под хайд такие вещи кидай) а то сейчас они очухаются и пофиксят.
интересно, с 6-ой версией (которая стоит в больших количествах заведений, ну по крайней мере в моем городе) этот баг проканает? smile


ICQ: 41896
 
Волк-1024Дата: Среда, 04.02.2015, 23:18 | Сообщение # 21
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
На счет вылета - я думаю, что это частный случай.. Не совсем же дураки его писали, ведь так..или...не? Тестируйте, товарищи, тестируйте!

Pascal, C\C++, Assembler, Python
 
ramzeswrДата: Вторник, 17.02.2015, 12:01 | Сообщение # 22
Участник
Зарегистрирован: 17.04.2013
Группа: Пользователи
Сообщений: 61
Статус: Offline
Цитата Anton93 ()
интересно, с 6-ой версией (которая стоит в больших количествах заведений, ну по крайней мере в моем городе) этот баг проканает?

Проверил на 6-ой, проканало мометально
 
Anton93Дата: Вторник, 17.02.2015, 16:42 | Сообщение # 23
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
ramzeswr, подтверждаю) недавно протестил. забыл отписать. баг на 6ке работает. лицензия слетает

ICQ: 41896
 
xXxSh@dowxXxДата: Вторник, 17.02.2015, 17:10 | Сообщение # 24
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Anton93 ()
баг на 6ке работает

С 6й версией все понятно, она стара как мир и там багов хватало и других, а вот то что в последней версии работает - это впечатляет не по детски smile
 
delfcode » Delphi » Вирусология Delphi » Обход касперского
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz