Тест ав.

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 710
Репутация
242
Jabber
Telegram
#2
Идея хорошая, код пока несмотрел, почитал только статью...

Ну и предлагаю тут в теме, немного разобраться в терминах и скажу как я понял эту статью, просто у нас думаю в основном новички, в частности и я, поэтому думаю нужны небольшие уточнения по статье, сразу извиняюсь, если вопросы будут немного глупые, но уточнение этих вопросов думаю будет полезно, для более глубокого понимания данной статьи и способа, итак, вопросы:

1) Что такое атомы ? Вроде в статье написано сноска "Защита потока данных". Это, вот-это имеется в виду Control Flow Guard. Принцип работы и методы обхода на примере Adobe Flash Player или что-то другое ?

2) Статья рассказывает о том-как проверить эмуляцию API в виртуальной машине ? Ну мне непонятно какие API будут эмулироваться в VM, в статье написанно что простые апи не эмулируются, т.е. как я понял, если я например буду использовать простую апи CreateFile, то она не будет эмулироваться в VM. А в каких случаях будет ?

3)Ну и суть тоже немного непонял, VirtualAlloc() - Это самописная функция ? Вообще по моему представлению аллокатор - это выделение памяти, типо malloc в си, но динамическое распределение памяти не всегда нужно и часто сам маллок переписывают, поэтому понятие аллокатор достаточно сложное, вот ссылка про аллокаторы, ну это для тех-кто в "танке" и прочитает эту статью:Альтернативные аллокаторы памяти

В общем можно немного по подробней расписать метод, если не сложно ?

Пока-что я понял вот-что:
Для детекта шифрованный образ PEдекриптуется, выгружается в файл и запускается. Для
примера взят Glyn. Так как не все AV его детектят, то для теста других AV следует взять иной
образ.
Ну это понятно, а дальше:
В начале запустим непосредственно декриптор, но после переноса тела APIв буфер.
Вот тут я уже не понял суть, т.е. мы выделяем память аллокатором VirtualAlloc() ? Далее в эту память помещаем API и исполняем так ?

4)Ну ещё непонятно какие API исполняются таким образом, GetProcAddress() ?

5) Далее что-то я совсем запутался:
Определим число
инструкций, из которых состоит тело API.
Инструкций чего ? GetProcAddress() ? А почему тогда будет разное число инструкций, речь идёт о ассемблерных инструкциях-так ?

6)Далее понял, что если >10-ти инструкций, то будет детект, у АВГ меньше 10-ти...

7)Далее вроде более-менее понятно, а что такое "Функция трассирована через элементарный DYE-цикл." ? Это в коде посмотреть нужно ? Просто пытался загуглить, какая-то муть в выдаче...i'm crazyDmeh-Smeh-Smeh!!!
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#3
1. В архиве дока с матчастью.
2. CreateFile() требует системной обработки, эмуляция фс. Это не делается в юзер процессе, таким образом будет запрос к VM. Что то типо GetCurrentProcess() выполняется напрямую, так как не требует использования ресурсов ядра ав.
3. Не совсем так. VirtualAlloc() это винапи, она используется мотором. Это упомянуто явно, так как винапи может не эмулиться, тогда ничего не получится. В выделенный через неё буфер собирается код. Там не один вызов её, но это не важно.
4. Любые, нет разницы.
5. Машинных инструкций из которых состоит тело функции. Кстати каспер хитёр, он не позволяет просто прочитать код. AVG к примеру стабильно читается, за 8 тестов читается один байт памяти. Каспер же после нескольких тестов начинает намеренно сбивать детекты, они становятся зависящими от фазы луны Как об стену !!!
7. В теории(1) описание довольно ясное. Но пример можно посмотреть, что бы понять суть.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 710
Репутация
242
Jabber
Telegram
#4
Да архив глянул, всё понятно написано, можно сказать даже ражжёванно, не плохо...:)

Интерено а как каспер определяет, что его тестят, там в самом антивирусе какой-то алгоритм, или через интернет идёт слив, что его тестят ?Не въехал!!!

Честно я не удивлён таким поведением ав, они тоже наверняка читают эти мануаллы, что-бы поднасрать потом...i'm crazyDmeh-Smeh-Smeh!!!
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#5
X-Shar

В самом ав алгоритмы. Так как после небольшой модификации детекта всё равно нет(после того, как пропал). Что бы выяснить суть нужно локально этот ав установить, пока я это сделать не могу. Но интересно узнать как он это делает.
 

Edith Wooten

Житель форума
Форумчанин
Регистрация
17.04.2019
Сообщения
100
Репутация
19
#6
Остался у кого VMA.rar ? или другие работы инди?
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
598
Репутация
196
Jabber
Telegram
#8
Остался у кого VMA.rar ? или другие работы инди?
У меня только пдф есть...
Так вряд-ли где найдете, он что-то удалил хранилище на яндексе.
Попробуйте в личку на wasm.in написать, он там вроде тусил, сейчас незнаю. Т.к. уже давно на форумах необщаюсь, тут только и-то редко.)
 

Вложения

  • 334 КБ Просмотры: 3

Edith Wooten

Житель форума
Форумчанин
Регистрация
17.04.2019
Сообщения
100
Репутация
19
#9
У меня только пдф есть...
Так вряд-ли где найдете, он что-то удалил хранилище на яндексе.
Попробуйте в личку на wasm.in написать, он там вроде тусил, сейчас незнаю. Т.к. уже давно на форумах необщаюсь, тут только и-то редко.)
да.. подгорело у него
 

Edith Wooten

Житель форума
Форумчанин
Регистрация
17.04.2019
Сообщения
100
Репутация
19
#10
Нашел инструмент от инде DYE в engines теме на exelab

Есть у кого ман по нему?
 
Вверх