• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Обход онлайн-антивирусов наподобие virustotal


Иван Грозный

Пользователь
Форумчанин
Регистрация
22.10.2016
Сообщения
59
Репутация
10
Существует теория, что онлайн антивирусы, мальвародетекты имеют название машины которое отличается от нормального, и по этому названию можно определить что вирус сканируют(тоесть они открывают его и наблюдают за работой что-ли?). Вопрос: как использовать такую уязвимость(или может ещё другие есть), чтобы даже eicar.com не детектился ни одним антивирем на вирустотале, желательно батником(мне нравиться этот язык)?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Если нужно просто обойти проверку, т.е. сделать так что-бы не проверялось сканером...

Самое простое, это сделать два вложенных самораспоковывающихся архивов...

Вложенный архив запаролить, а распаковку вызывать батником, или vbs, ключ будет наш пароль !Dmeh-Smeh-Smeh!!!

Тем-самым будет FUD даже если в архиве мега-вирус, тот еикар например !

Другое дело, что при распаковки на реальной системе будет детект....Отдыхай!!!

Вот так и продают сборки рмс хомячкам, вроде и фуд на сканерах, а реально палящийся шлак !sm3888
 

Иван Грозный

Пользователь
Форумчанин
Регистрация
22.10.2016
Сообщения
59
Репутация
10
Спасибо, отличная идея, но несмотря на это VK как-то научился детектировать исполняемые файлы в запароленых архивах(прийдёться наверное юзать js активный код чтоб через ВК распространиться, взломав ВКПипец просто!!!)Не въехал!!! Также я слышал историю(реальна или нет хз) про вскрытие запароленого архива без знание пароля за разумное время юзая какую-то уязвимость(учитель вскрыл архив студента), также предлагалось за деньги узнать эту уязвимость но сами понимаете давать кучу денег(4тыс$) непонятно кому и главное неизвестно зачем, а вдруг кидала(+ у меня и денег нету, а тем более таких)? В теории(мои догадки), если в каждом запароленом архиве присутствует пароль(хеш пароля) и мы знаем алгоритм вызова пароля(документ то не просто запаролен, он зашифрован)+алгоритм хеширования, то сопоставив значение пароля который есть в файле, и пароля который от нас ждут при введении, можно эмулировать введение пароля, тем самым вскрывать архив(+ наверняка не используються криптостойкие алгоритмы такие как AES, + ключ симетричен, что значительно упрощает его подбор, потому что вшит в систему; я пытался найти описание как работают алгоритмы сжатия, всё что мне удалось найти: "исходный файл с помощью алгоритма сжатия сжимается", может у кого-нибудь есть пару валидных ссылок по их работе?). Но это всё теория...догадки...а как же на практике? Возможно ли такое(и если возможно то каак fear?)?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Зип архивы по мойму научились ломать, рар вроде нет, так-что можно спокойно паковать раром, про другие тоже не слышал что-бы взломали...

Некоторые ав брутят пароль например 111, и т.д., я даже в свое время тест проводил...ха-ха-хаха-ха-хаха-ха-ха
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Верх Низ