• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Антиэмуляция, кто чо юзает


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
-pics_max-images_2.jpg


Незнаю будет-ли актуальна эта тема, но т.к. тема важная и сурьёзная, а инфы практически нет и если такую тему создать на хацкерских ресурсах, то сразу будет бан за тупизм, поэтому решил создать здесь...Dmeh-Smeh-Smeh!!!

902b5b226f0a.jpg


Итак, предлагаю здесь обсуждать антиэмуляцию, хотя-бы теорию как там, да-что !

Для тех-кто в танке, что такое антиэмуляция и зачем оно нужно ?

Антивирусы, в момент проверки эмулируют код и если в этом коде "Затерялось" что-то вредоносное, АВ начинает детектить:

1247634943_1246970402_1246897683_ar2lj8k13t64-large.jpg


Часто хакеры что-бы скрыть вирус криптуют его, а после раскриптовки вирус должен запуститься в памяти, так вот если небудет антиэмуляции, то всё это бесполезно, т.к. АВ доберётся до вредоносного кода в момент проверки, обычно антиэмуляция как-раз и применяется что-бы скрыть от АВ расшифровку и запуск вируса в памяти...

Короче интересует любая инфа про антиэмуляцию...

И ещё, кто-нить занет как обойти детект таких АВ как ДокторВеб и Нод в момент запуска, т.е. детект в памяти ?

10921.jpg


Короче подключайтесь к обсуждениям, интересна даже теория, если еть что сказать !

З.Ы. На картинки необращайте внимание, просто это у меня крышняк снесло...Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
И ещё, кто-нить занет как обойти детект таких АВ как ДокторВеб и Нод в момент запуска, т.е. детект в памяти ?
Увидел на факаве эту хрень.Правда видос на ютубе помер.Остался лишь экзешник.Цитирую:
Факав сказал(а):
Продвинутый Сканер Памяти в ESET NOD 32 разработан, чтобы усилить защиту против современных вредоносных программ.
В попытке избежать обнаружения, авторы вредоносных программ активно используют обфускацию файла или/и шифрования.
Это вызывает проблемы с распаковкой и может стать проблемой для обхода для обычных анти-вирусных программ, методов, для таких, как эмуляция или эвристика.
Для решения этой проблемы, в Передовых технологиях Памяти Сканера ESET NOD 32 отслеживает поведение вредоносного процесса и проверяет ее, когда она находиться в памяти.
Это позволяет эффективно противостоять заражению, даже сильно обфусцированного вредоносного по.
Решением проблемы для сервера является изменение точки входа запуска программы
2xeQHNQ.png


ZW5fFUJ.png


SaUhHpr.png


Пасс:111
 

Вложения

  • 65c85d16f30d1.rar
    467.4 КБ · Просмотры: 34

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
А ты пробовал, детект на запуск слетает-нет ?

Многие дрочат на этот запуск в памяти !
Не пробовал.Даже не запускал эту хрень.
Есть ,правда долгий и нудный.К тому же неизвестно что получится,хотя на словах Конг описал красиво).
Олег,а чего ты убрал анонимный переход.Тут смотрю РОСТ изредка появляется,как раз в тех темах,где есть ссылки на него.А вдруг чего-нибудь нелицеприятное напишем:)?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Олег,а чего ты убрал анонимный переход.Тут смотрю РОСТ изредка появляется,как раз в тех темах,где есть ссылки на него.А вдруг чего-нибудь нелицеприятное напишем:)?
Ну во первых здесь независимый ресурс и лично я не кого небоюсь, по крайне-мере с факкав точно...

А во вторых так здесь вроде ничего такого про них не писалось, даже я думаю на пользу идёт, ибо какой-то пипл к ним переходит от сюда !

Тем не менее, если какой-то контент здесь что-то нарушает или оскорбляет, я не отмароженный со мной всегда можно договорится, если аргументируют конечно...
 

denis7656

The Dark Side
Форумчанин
Регистрация
25.06.2014
Сообщения
81
Репутация
195
код из
https://ru-sphere.ru/threads/delaem-kriptor-vmeste.1928/page-7#post-115122
под Delphi переписал

[HIDE=5]
function IsAVengine:Boolean;
var
pos1,pos2: TPoint;
begin
GetCursorPos(pos1); // Получаем текущие координаты в pos1
setcursorpos(pos1.X+1,pos1.Y+1); // Увеличиваем координаты X и Y в pos1 на единицу
GetCursorPos(pos2); // Получаем текущие координаты в pos2
if ((pos2.X=pos1.X+1) and (pos2.Y=pos1.Y+1)) // сравниваем pos1 и pos2
then result:=False // Мы не под виртуалкой
else result:=True; // Мы под виртуалкой
setcursorpos(pos1.X+1,pos1.Y+1); // возврат указателя крысяки (можно и не делать, все равно пользователю не заметно)
end;

Юзать так
if IsAVengine then
ShowMessage('FuckHerSelf !!!')

else ShowMessage('All ok !!!')

[/HIDE]
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
кто-нить занет как обойти детект таких АВ как ДокторВеб и Нод в момент запуска, т.е. детект в памяти ?

Не хранить в памяти код, а динамически раскодировать поток инструкций из шифрованного буфера по одной.
Во втором варианте удалять сигнатуры путём морфинга. Но это сложный метод не для крипторов.
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
можно и не по одной, а частями, в принципе. закладывать это надо в архитектуру проекта желательно на этапе проектирования - чтоб кодить с оглядкой на это, хотя можно и потом точить
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Существуют надстройки, позволяющие выполнять пошагово произвольный код. Но к этому коду есть требование - он должен быть в микод формате, тоесть не содержать никаких статических данных. Есно это не реализуемо на скриптах.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Снимок.PNG

Небольшой pdf-документ об обходе ав-защиты.Возможно будет интересен профессионалам,ибо без спец. знаний его нечего даже листать)
Можно посмотреть в или скачать во вложении.
 

Вложения

  • BypassAVDynamics.pdf
    994 КБ · Просмотры: 42
Верх Низ