Вопрос Как обойти детект в памяти.

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
76
Репутация
9
#1
Имееться полиформный криптор (полиформизм только стаба) на C++, в скантайме полный FUD. Криптую ним паблик стиллер (Azor) проверяю скантайм криптор отрабатывает нормально запускает стилллер через RunPE и когда стиллер стучит в панель антивирус детектит его по поведению в памяти. Можно конечно реверснуть билд стиллера и поменять поведение но мне интересно как реализовать обход проактивки в крипторе. Интресует именно реализация. Может есть где-то на гитхабе или на просторах гуглап проект где реализовано то что мне нужно? Зарание спасибо за ответы!
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
637
Репутация
213
Jabber
Telegram
#2
По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...

Как вариант можно пройтись этим DarthTon/Polychaos перед криптовкой например.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
76
Репутация
9
#3
По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...
Удивительно на рынке есть крипторы которые если ими криптовать даже паблик вредоносы в рантайме в том числе и по поведению полный или почти полный FUD. Cответственно должны же быть способы реализовать это в крипторе?

Как вариант можно пройтись этим DarthTon/Polychaos перед криптовкой например.
Cпасибо попробую заюзать в своем крипторе но это пермутация и она расспостраняеться только на исходники моего стаба. В моем случае от рантайма это меня не спасет. Детектиться не криптор а криптуемый азор а исходников азора в паблике я не встречал.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(
Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.
 

skales007

Житель форума
Форумчанин
Регистрация
26.03.2019
Сообщения
9
#4
Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.
Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 727
Репутация
263
Jabber
Telegram
#5
в том числе и по поведению полный или почти полный FUD.
Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?

Вот сами подумайте, криптор, просто запускает вашего зверька в памяти.

Все остальное, уже нужно реализовывать в самом зверьке.

Что можно сделать в крипторе ?

Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.
 

skales007

Житель форума
Форумчанин
Регистрация
26.03.2019
Сообщения
9
#6
Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.
Я уже пытался однажды чистить так билд стиллера. Долго и муторно это было, особенно учитывая то, что палились разные функции. Но, мне кажется, что сделать это реально в автоматическом режиме, т.е. морфить PE.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 727
Репутация
263
Jabber
Telegram
#7
Но это обход сигнатур в памяти, но не поведение.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 727
Репутация
263
Jabber
Telegram
#8
и она расспостраняеться только на исходники моего стаба.
Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...

Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
76
Репутация
9
#9
Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
Avast четко пишет что детектит по поведению.
Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
Есть готовые проекты где можно посмотреть подобную реализацию?
 
Последнее редактирование:

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
76
Репутация
9
#10
Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?
Я не проверял но платные сканеры врать не станут.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...
Во первых я не совсем понимаю как он сможет обработать скомпилиный файл.
Во вторых есть ли на самом движке детекты? Просто я сомневаюсь что смогу переписать движок blush1

Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...
Если не сложно можно пожалуйста инструкцию не большую как проект собирать а то с первого взгляда не особо понятно...
Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))
Будем думать как сделать так чтобы спастись) Ну как я понял рантайм нужно побеждать перед криптовкой? А в крипторе это делать сложно да и смысла не имеет(это можно сделать и самому в ручную)?
 
Вверх