Малварь как искусство Простой движок мутирования исполняемого файла

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 680
Репутация
211
Jabber
#41
От детекта по поведению, это не поможет, конечно...)))

Смысл такой, даже когда вы запускаете через инжект, что уже подозрительное поведение, с точки зрения антивируса, процесс все-равно проверяется.

Инжект в процесс хорош для маскировки, но может-быть плох с точки зрения антивирусов хотя если запускать безобидный процесс, то детекта нет, значит сам инжект как таковой, это не табу для антивирусов.

Конкретно ваш случай, это скорей-всего детект все-таки в памяти, либо у аваста какие-то поведеньчиские сигнатуры, характерные для азора т.к. детект явный, азор, думаю детект в памяти при проверки процесса.

Как вариант обхода (сложный) , и врядли кто-то будет делать, это помимо мутации добавлять свой мусорный код, т.е. разные ветвления, расчеты и т.д.

В таком случае, антивирусу будет сложно по сигнатуре задетектить уже..

Частично это реализовано в полихаусе, но работает только с вижуалкой, есть способ адаптировать под 2017.

Возможно, можно для делфи сделать...

Для всех исполняемых файлов это тяжело сделать, там проблемы...)))
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
56
Репутация
3
#42
Конкретно ваш случай, это скорей-всего детект все-таки в памяти, либо у аваста какие-то поведеньчиские сигнатуры, характерные для азора т.к. детект явный, азор, думаю детект в памяти при проверки процесса.
Это явно детект в памяти по поведению. И да вы правы что детект происходит только при инжекте азора если инжектиться безобидный файл (например путти) то детекта нет.

Частично это реализовано в полихаусе, но работает только с вижуалкой, есть способ адаптировать под 2017.
Можете пожалуйста поделиться способом как адаптировать полихаус под 2017 вижуал студиа? Так как у меня полихаус компилируеться но файлы не пермутирует (кроме себя). Я кстати начал переписывать полихаус под эту библиотеку https://github.com/jnastarot/enma_pe но так как полихаус написан под библеотеку kamio а она отличаеться enma_pe то пока я в этом не сильно приуспел.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 680
Репутация
211
Jabber
#43

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
56
Репутация
3
#44

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
56
Репутация
3
#45
Он будет работать только с проектами 2017, т.е. собранными в 2017.
Вопрос конечно очень тупой и плохо сформированый но каким образом я могу переписать полихаус под выше указаную библеотеку она отличаеться от kamio и я так скажем немного теряюсь в таком большом количестве кода Не въехал!!!
 

Edith Wooten

Житель форума
Форумчанин
Регистрация
17.04.2019
Сообщения
49
Репутация
3
#46
Вопрос конечно очень тупой и плохо сформированый но каким образом я могу переписать полихаус под выше указаную библеотеку она отличаеться от kamio и я так скажем немного теряюсь в таком большом количестве кода Не въехал!!!
а вы улучшайте скилл
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
56
Репутация
3
#47
Дело не совсем в скилле. Я же не спрашиваю что такое класс или пространство имен в С++? Допустим в kamio есть класс pe_factori а какой аналог данного класс есть в enma_pe? дело не в скилле а в том что в одиночку сложно сразу разобраться в двух отличающихся библиотеках да ещё плохо документированых. Допустим в kamio во всех файлах библиотеки используеться одно пространство имен pe_bliss благодаря чему библиотеку легче подключать в другие проекты в pe_emna этого нет.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 680
Репутация
211
Jabber
#48
Там структуры конфиг директори разного размера, пофиксишь структуру для 2017 вижуалки, то отвалится 2013, гы-гы.

С делфи несмотрел, но компилировал тестовый проект на асме, там еще ошибки возникают, указатели битые и т.д.

Короче забил...)
 

HopefuLXakir

Житель форума
Форумчанин
Регистрация
14.11.2018
Сообщения
56
Репутация
3
#49
Там структуры конфиг директори разного размера, пофиксишь структуру для 2017 вижуалки, то отвалится 2013, гы-гы.

С делфи несмотрел, но компилировал тестовый проект на асме, там еще ошибки возникают, указатели битые и т.д.

Короче забил...)
Если честно для меня эта информация не какой особой пользы не предсталяет так как не содержит решения моей проблемы. Вообщем как я понял с полихахаус мне не кто помогать не хочет и проект не кого не интересует. Может вы знаете хотя-бы какой-то метод anti-memory scan? Подобная штука часто используеться во всяких читах для обхода анти-чит защиты. Я сам лично пытался на гите найти нужный код но нашел только такой проект который вроде надо допиливать https://github.com/LMSDev/C-Memory-Protection
 
Вверх