Скрытие кода.

[X-Shar]

Пруфца бы, на ваши разработки желательно.

Я знаю Недовируса достаточно давно по этому форуму, подтверждаю что он специалист высокого уровня во вирусологии, наверное самый продвинутый спец. здесь на ресурсе по этой тематики...:)

А так мне кажется, про гуй всё правильно сказано было, но неужели так сложно хотя-бы консольный гуй сделать ?

Я не знаю как в VX ? Но само понятие "Движок" подразумевает слово "Каркас", т.е. на основе его должно создаваться что-то другое, т.е. "движки" в моём понимании создаются для облегчения создания чего-либо, это как инструмент, тут либо очень хорошая документация должна-быть, либо какой-то инструмент для удобного подключения, это может-быть гуй, может либа, или что-то ещё...

Кстати по поводу этой техники, там немного другой подход, но вот вирус уже запилили, к сожалению семпл найти несмог:Информация - Cамораспространяющийся полиморфный банкер Bolik

Вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

 

[Indy]

X-Shar
Судя по его постам, а там почти в каждом купи-продай, отсутствию тех постов - барыга с умным видом )

> на основе его должно создаваться что-то другое

Вы понимаете под мотором некоторую тулзу, которая обрабатывает модуль, криптует/инфектит/етц, поэтому нужен гуй-интерфейс. Это не утилита, а код.

> Вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части

Это не системный метод, морф етц.

 

[X-Shar]

Судя по его постам, а там почти в каждом купи-продай, отсутствию тех постов - барыга с умным видом

Хм, ты про Nedovirus говоришь ?

Где там купи-продай ? Посмотри посты, профиль открыт, тех. постов достаточно, барыги так не пишут, у барыг как правило одна извилина, и-то что-бы есть...

Да и у нас на форуме на данный момент ничем не торгуют, поэтому барыги тут и не задерживаются, так-то !

Вы понимаете под мотором некоторую тулзу, которая обрабатывает модуль, криптует/инфектит/етц, поэтому нужен гуй-интерфейс. Это не утилита, а код.

Ну как-бы да, просто тогда непонятно для чего он нужен ? Для академического интереса ?

 

[Indy]

X-Shar

> Для академического интереса ?

Да, как и любая викс техника и её реализация.

 

[X-Shar]

Да, как и любая викс техника и её реализация.

А как её проверить-то ?

Что она работает, в идеале хотя-бы сам сделал ролик, как ав палит в памяти вредоноса без движка и как он перестаёт это делать после обработки движком...

Рекомендую взять нод, его тяжело обойти, детект в памяти имею в виду...:)

 

[Nedovirus]

Барыга тоесть ?
Пруфца бы, на ваши разработки желательно.

Ничего кроме знаний и опыта я не продаю. Я пролетарий, меня можно нанять и я поработаю )))

Судя по его постам, а там почти в каждом купи-продай, отсутствию тех постов - барыга с умным видом

Г-н Инде читает посты как-то избирательно. К купи-продай я не имею отношения от слова "ваще".

> Для академического интереса ?
Да, как и любая викс техника и её реализация.

Вот именно это я пишу в каждом своем сообщении, что никакого практического интереса для относительно массового пользователя нет. Потому и спросил имеет ли г-н Инде хоть какое-то представление о процессе командного программирования, сборочных систем и того как туда пишутся и подключаются т.н "плагины" чтоб такой разработкой можно было замахнуться на "корпоративный" рынок. Если по таким вопросам и моему анализу текущей ситуации непонятно о чем я говорю - не знаю как еще объяснять.

 

[Indy]

X-Shar

> А как её проверить-то ?

Вам обьяснить как вызывается функция или может что такое компиляция

Nedovirus

> представление о процессе командного программирования, сборочных систем и того как туда пишутся и подключаются т.н "плагины"

Пример приведите плз, ну или хотя бы название малварки/имя детекта.

 

[X-Shar]

Вам обьяснить как вызывается функция или может что такое компиляция

А зачем мне объяснять, я прекрасно знаю что такое компиляция, как вызывается и что такое функция на разных яп.

Другое дело, что вы запили движок, а продемонстрировать имхо его в работе даже сами не можете, демонстрация это как я написал запуск вредоносного кода из-под антивируса, например Eset Nod !

Не сочтите, что я от вас что-то требую, или обвиняю в чём-то, тут никто никому не обязан, но у меня такое впечатление сложилось ! Было-бы неплохо если-бы вы хоть как-то продемонстрировали работоспособность этого всего на практике, тогда-бы разговора никакого не было...:)

 

[Indy]

X-Shar

Наверно я не понимаю. Что именно демонстрировать, нет страниц в памяти, нету там данных. Попытка чтения приводит к исключению или функи чтения возвращают ошибки. Вчера тестил на детекторе одном, тут описал

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

. В архивах есть же семплы, нужно открыть отладчиком и посмотреть как это всё робит. Записывать это на видос - даже не знаю, я это обычно не делаю.

 

[Indy]

> запуск вредоносного кода из-под антивируса, например Eset Nod !

Нет смысла тестить на всём подряд, так как любая такая софтина использует обращение к отсутствующему блоку памяти, соответственно результат такого чтения очевиден. Есть только одно возможное условие для успешного чтения - это необходимо делать в юзер мод контексте целевого процесса, только тогда будет выполнен декрипт памяти. Но эту часть я есчо проработаю, весьма не ясно какому коду разрешать выборку данных. Кстате эта задача вынесена из мотора - декриптом занимается указанный колбек :)