• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Малварь как искусство Чистка вирусов (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
222
Привет всем !

Часто необходимо понять на что ругается антивирус:

- На сигнатуру в коде.
- На импорт.
- Реакция эмулятора.
- На секции.

Тема чисток много где раскрыта, даже здесь на форуме что-то есть, но мало кто говорит, про супер-мега невероятную крутую тулзу от vxlab.

Написана на питоне, что она делает:

Fast mode

Быстрый режим призван определить какого толка сигнатура нас беспокоит:
  • Эмулятора
  • Импорта
  • Секций
Создаются следующие типы файлов:
  • ALL_SECTION - стёрты все секции
  • ALL_SECTION_NOT[0].text - стёрты все секции кроме первой, под именем .text
  • SECTION[2].data - стёрта только третья секция, под именем .data
  • EMUL - на точку входа эмулятора поставлен выход. Он прекратит свою работу и детект эмулятора исчезнет.
  • IMPORT - весь импорт перезатёрт - если сигнатура стояла на импорте - она пропадёт.
Вызов:
python SF.py path_to_exe fast

Header mode

Методом исключения, если затирание секций оставляет детект -
сигнатура стоит на оставшихся заголовках pe32. Данный режим затирает
каждое поле по отдельности, создавая файлы типа:
  • IMAGE_DOS_HEADER-e_cblp
  • IMAGE_OPTIONAL_HEADER-AddressOfEntryPoint
Вызов:
python SF.py path_to_exe head


Section mode

Это режим работы с конкретной секцией, она делится на N участков
одинакового размера и в каждом файле стёрт свой участок. Указывается
порядковый номер секции. Опциональный аргумент -p задаёт количество
частей, по умолчанию 100.

python SF.py path_to_exe sect section_number
python SF.py path_to_exe sect section_number -p 10

Manual mode

Режим ручного управления. Заданный в параметрах участок, делится на
заданное количество частей, каждая перезатирается по очереди. Длина шага
равна размеру одной части.

Например, было:

FF FF FF FF FF FF

Стало:

00 00 FF FF FF FF
FF FF 00 00 FF FF
FF FF FF FF 00 00

Вызов:
python SF.py path_to_exe man offset size part_num


Manual2 mode

Второй ручной режим, отличается от первого длиной шага, который равен одному байту.

Например, было:

FF FF FF FF FF FF

Стало:
00 00 FF FF FF FF
FF 00 00 FF FF FF
FF FF 00 00 FF FF


Вызов:
SF.py path_to_exe man2 offset size window_size

Видяха как работать:


Сорцы в гите:https://github.com/vxlabinfo/SignFinder
 
Последнее редактирование:

ser44

Житель форума
Форумчанин
Регистрация
30.03.2020
Сообщения
11
Этот софт с 2016 года актуально ли сейчас?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 409
Репутация
7 897
Telegram