• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Малварь как искусство Полиморфный генератор мусора


virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
Так получается для таких проектов лучше всего использовать асм?
Можно на си, но тогда придется работать с опкодами и тогда ещё менее читаемо будет...

Тут сами движки, можно обернуть в библиотеку и основную часть писать на си, сами движки подключать как библиотеки.

Я подумываю доработать свой паблик криптор, как-раз:

- Использовать эти движки, типо полиморфный декриптор + нормальная генерация треш-кода (Не-то что у меня получалось до этого, хе-хе).

- Лоад-пе хочу доработать, но там он так-же будет запускаться как шелл-код + может мутацию сделаю.

- Гуй надо-бы сделать, но это фигня, самое интересное первые два пункта.

Но как я уже сказал, как обойти детект в памяти процесса ?
Тем не менее может-быть полезно для чего-то.

Правда незнаю когда это будет, тут то некогда, то лень...Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!
 

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
Но как я уже сказал, как обойти детект в памяти процесса ?
Так а что мешает в память закинуть как обманку нормальный достоверный процесс, например тот же винрар закинуть и запустить параллельно процесс например архивации. Конечно винрар не опенсоурс, но я как пример. Все равно будет детект?
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Но как я уже сказал, как обойти детект в памяти процесса ?
С помощью анти хука. Я уже кинул проект написный под bitdefender его также можно переписать и под аваст к примеру. Cтранно что не кто не обратил внимание.
 

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
С помощью анти хука. Я уже кинул проект написный под bitdefender его также можно переписать и под аваст к примеру. Cтранно что не кто не обратил внимание.

Я нашел от тебя запись только эту последнюю.

Если честно для меня эта информация не какой особой пользы не предсталяет так как не содержит решения моей проблемы. Вообщем как я понял с полихахаус мне не кто помогать не хочет и проект не кого не интересует. Может вы знаете хотя-бы какой-то метод anti-memory scan? Подобная штука часто используеться во всяких читах для обхода анти-чит защиты. Я сам лично пытался на гите найти нужный код но нашел только такой проект который вроде надо допиливать
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Я нашел от тебя запись только эту последнюю.
Про анти хук я писал в этой теме. Кстати метод с виртуальной машиной тоже очень хорошо работает от поведенческого анализа аваста например.
 
Последнее редактирование:

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
@HopefuLXakir, да блин от аваста спокойно можно прятать в ресурсы и шифровать ресы под AES и все минус детект кроме есета с каспом.
Возможно ошибаюсь, но по тестам я чекал через спиралскан. Опять же на практике не проверял, особо времени не было.

P.S. Поправка это .net, преобразование в натив убивало все кроме есета, но опять же на практике не тестил
 
Последнее редактирование:

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
@HopefuLXakir, да блин от аваста спокойно можно прятать в ресурсы и шифровать ресы под AES и все минус детект кроме есета с каспом.
Возможно ошибаюсь, но по тестам я чекал через спиралскан. Опять же на практике не проверял, особо времени не было.

P.S. Поправка это .net, преобразование в натив убивало все кроме есета, но опять же на практике не тестил
Это в скантайме но в памяти аваст просто либо с помощью хука либо с помощью поиска сигнатуры спалит ваш файл. Рантайм достаточно серьезная проблема самый верный способ это писать вм которая бы интрепретировала код вашего файла тогда детекта не будет.
 

0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
Это в скантайме но в памяти аваст просто либо с помощью хука либо с помощью поиска сигнатуры спалит ваш файл. Рантайм достаточно серьезная проблема самый верный способ это писать вм которая бы интрепретировала код вашего файла тогда детекта не будет.

А понял прикол, тогда почему шар пытается по-старому через движки работать?
 

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
А понял прикол, тогда почему шар пытается по-старому через движки работать?
Дык криптор должен состоять из модулей:

- Декриптор.
- Антиэмуляция.
- Да, виртуальные машины, если это возможно.

Про движки, которые тут приведены, это полиморфный декриптор и генерация мусора, для усложнения исследования кода.
 
Верх Низ