• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Малварь как искусство Интересное наблюдение по антивирусной защите (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 113
> Скорей-всего сработал детект по поведению.

поведению эта когда трояна полезла вершить свой не праведный суд по мнению авера и в этот момент была схвачена и отхуячена?
так в нагляк полезла можно было и по другому сделать .не ну я то не троянщик я в этом ничего не понимаю
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 412
Репутация
7 901
Telegram
поведению эта когда трояна полезла вершить свой не праведный суд по мнению авера и в этот момент была схвачена и отхуячена?
Есть статический анализ и динамический анализ, а также детект по поведению (Это-же проактивная защита).


1)Статический анализ - Это анализ по коду, по простому, антивирус "смотрит" код и детектит в следующих случаях:

- Есть слепок какого-то кода (Любит делать нод), пример если будет код например паблик-функции запуска кода (PE-Crypter/runPE.h at master · jozemberi/PE-Crypter · GitHub) и даже если вы ей не пользуетесь, она просто будет в коде, то будет детект;

- Если файл по какому-то хешу совпадает с вирусом.

2)Динамический анализ:

- В данном случае, антивирус исполняет код в своей виртуальной среде, это называют ещё эмуляцией кода, таким образом антивирус пытается попасть в "скрытые участки кода".

Например ты зашифровал вирус и хочешь что-бы он исполнился в памяти, или в папке темп. Так-вот эмулятор исполняет код и добирается до вируса. :)

Это всё проверяет вирустотал.

3)Есть ещё проактивная защита, это когда антивирус анализирует уже "поведение" программы, например смотрит "Выходит-ли программа в сеть", "Шифрует-ли файлы" и т.д.

Если программа например начала слишком рьяно шифровать файлы, или дербанить сеть то может-быть детект...:)

Это вирустотал уже не проверяет.

Способы обхода следующие:

- Сигнатурный/динамический детект, обходим путём антиэмуляции кода - специальные механизмы, которые запутывают испонение кода и антивирус не может добраться до вредоносного кода.

- Детект по поведению, обходим при помощи "легальных" программ, например шифровать можно при помощи архиватора винрар, или скрипта и т.д. :)

Это вкратце если. :)
 

JohnWick

Житель форума
Форумчанин
Регистрация
02.04.2017
Сообщения
17
Репутация
2
Продолжение криптора будет? Интересно было бы почитать про крипт dll, оверлеев, крипт без стаба.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 412
Репутация
7 901
Telegram
Продолжение криптора будет? Интересно было бы почитать про крипт dll, оверлеев, крипт без стаба.
Про крипт длл можно написать, про стаб, как я понимаю стаб всё-равно будет, но будет каждый раз разный, сделать это можно например при помощи случайно генерируаемого мусора, сделать это можно примерно так:Самомодификация, или по стопам Еикара

Или так:На заметку - Супер-полиморф и пошаговый запуск процедур

А так если честно что-то интерес в написании таких статей пропал, по причине, что мало кому это интересно и нужно...

Если говорить про комерс, у них свои наработанные методики и никто не будет их "светить", если говорить, про тех-кто просто-так интересуется ради интереса, то во первых нужны базовые знания программирования, которые не у всех есть, а во вторых опять немного людей желающие во всём этом разбираться.

Поэтому такие статьи как правила мертвые, без обсуждений и т.д., что скучно, а вдруг я дичь пишу например...:)
 

JohnWick

Житель форума
Форумчанин
Регистрация
02.04.2017
Сообщения
17
Репутация
2
За линки спасибо, не видел раньше.
Статьи данной тематики интересны, в ближайшее время сам выложу статейку))
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
106
Интересная тема.
Но есть два важных нюанса. Криптор это всего лишь загрузчик из памяти. Антиэмуляция актуальна в виде алгоритма, ошибки в эмуляторе не актуальны - они фиксятся налету и время жизни метода очень мало.
 

JohnWick

Житель форума
Форумчанин
Регистрация
02.04.2017
Сообщения
17
Репутация
2

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 412
Репутация
7 901
Telegram
Я думал что это загрузчик из файла. Если рантайм, то загрузчик в память. Или я ошибаюсь?
Рантайм - Это из памяти.

Скантайм - Это из файла, например те-которые копируют в папку темп и запускают от туда, но сейчас мало кто так делает, ибо смысла особо нет.
 

JohnWick

Житель форума
Форумчанин
Регистрация
02.04.2017
Сообщения
17
Репутация
2
Дошло наконец-то, просто выражение "загрузчик из памяти" я бы произносил "загрузчик в память", т.к. фактически происходит загрузка в память. На самом деле, это одно и то же. Протупил.