• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Малварь как искусство Интересное наблюдение по антивирусной защите


DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
> Скорей-всего сработал детект по поведению.

поведению эта когда трояна полезла вершить свой не праведный суд по мнению авера и в этот момент была схвачена и отхуячена?
так в нагляк полезла можно было и по другому сделать .не ну я то не троянщик я в этом ничего не понимаю
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
поведению эта когда трояна полезла вершить свой не праведный суд по мнению авера и в этот момент была схвачена и отхуячена?
Есть статический анализ и динамический анализ, а также детект по поведению (Это-же проактивная защита).


1)Статический анализ - Это анализ по коду, по простому, антивирус "смотрит" код и детектит в следующих случаях:

- Есть слепок какого-то кода (Любит делать нод), пример если будет код например паблик-функции запуска кода ( ) и даже если вы ей не пользуетесь, она просто будет в коде, то будет детект;

- Если файл по какому-то хешу совпадает с вирусом.

2)Динамический анализ:

- В данном случае, антивирус исполняет код в своей виртуальной среде, это называют ещё эмуляцией кода, таким образом антивирус пытается попасть в "скрытые участки кода".

Например ты зашифровал вирус и хочешь что-бы он исполнился в памяти, или в папке темп. Так-вот эмулятор исполняет код и добирается до вируса. :)

Это всё проверяет вирустотал.

3)Есть ещё проактивная защита, это когда антивирус анализирует уже "поведение" программы, например смотрит "Выходит-ли программа в сеть", "Шифрует-ли файлы" и т.д.

Если программа например начала слишком рьяно шифровать файлы, или дербанить сеть то может-быть детект...:)

Это вирустотал уже не проверяет.

Способы обхода следующие:

- Сигнатурный/динамический детект, обходим путём антиэмуляции кода - специальные механизмы, которые запутывают испонение кода и антивирус не может добраться до вредоносного кода.

- Детект по поведению, обходим при помощи "легальных" программ, например шифровать можно при помощи архиватора винрар, или скрипта и т.д. :)

Это вкратце если. :)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
Продолжение криптора будет? Интересно было бы почитать про крипт dll, оверлеев, крипт без стаба.
Про крипт длл можно написать, про стаб, как я понимаю стаб всё-равно будет, но будет каждый раз разный, сделать это можно например при помощи случайно генерируаемого мусора, сделать это можно примерно так:

Или так:На заметку - Супер-полиморф и пошаговый запуск процедур

А так если честно что-то интерес в написании таких статей пропал, по причине, что мало кому это интересно и нужно...

Если говорить про комерс, у них свои наработанные методики и никто не будет их "светить", если говорить, про тех-кто просто-так интересуется ради интереса, то во первых нужны базовые знания программирования, которые не у всех есть, а во вторых опять немного людей желающие во всём этом разбираться.

Поэтому такие статьи как правила мертвые, без обсуждений и т.д., что скучно, а вдруг я дичь пишу например...:)
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Интересная тема.
Но есть два важных нюанса. Криптор это всего лишь загрузчик из памяти. Антиэмуляция актуальна в виде алгоритма, ошибки в эмуляторе не актуальны - они фиксятся налету и время жизни метода очень мало.
 

JohnWick

Пользователь
Форумчанин
Регистрация
02.04.2017
Сообщения
17
Репутация
2

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
Я думал что это загрузчик из файла. Если рантайм, то загрузчик в память. Или я ошибаюсь?
Рантайм - Это из памяти.

Скантайм - Это из файла, например те-которые копируют в папку темп и запускают от туда, но сейчас мало кто так делает, ибо смысла особо нет.
 

JohnWick

Пользователь
Форумчанин
Регистрация
02.04.2017
Сообщения
17
Репутация
2
Дошло наконец-то, просто выражение "загрузчик из памяти" я бы произносил "загрузчик в память", т.к. фактически происходит загрузка в память. На самом деле, это одно и то же. Протупил.
 
Верх Низ