• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

ВАЖНО Учимся обходить детект антивирусов - Часть 1.


0x0

VIP
VIP
Регистрация
01.09.2016
Сообщения
11
Репутация
8
Jabber
разная версия винды, может по разному влиять на поведения вашей программы, так и крипторы на нет, не все файлы может криптовать...:(
Довольно редкая ситуация, гораздо реже, чем с нативным кодом, на практике встречал только 1 раз.
есть такая вещь как "Энтропия", что это такое прочитайте в статье, так-вот если энтропия слишком большая, то ваша поделка только по этому показателю будет задетектена.
В отличии от нативного кода, который можно дизассемблировать и долго в нем разбираться, код .Net можно просто открыть рефлектором, и увидеть исходник прямо на С#, чтобы такого не было, практически любая коробочная программа защищается всякого рода обфускаторами/крипторами и т.д. Этим крипторам/обфускаторам пофиг на размер стаба, да, NOD детектит как вирус программу обфусцированную .Net Reactor (который для защиты применяет обфускацию, шифрование, шифрование ресурсов и NecroBit), но это скорее в минус NODу. Поэтому уделять большое внимание энтропии в .Net приложениях для АВ - это скользкая дорожка.

Да даже стаб детектить тоже пролематично, ведь вирус могут криптануть криптором, который широко используется в ентерпрайзе. И если всё что защищено этим криптором будет вдруг детектиться как вирус, многие компании могут отказатья от этого АВ
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
0x0, ты немного непонял про-что я написал:

1)Чем больше вес стаба/программы, тем увеличивается энтропия, а особенно если в программе будет куча мусора, то антивирусы уже могут задетектить такую программу, некоторые как авира например, сразу делают детект, даже по структуре PE-файла, кто-то после запуска, это первое.

2)Второе, про обфускаторы и шифрование кода, антивирусы довольно давно умеют распаковывать и расшифровывать код большинства обфускаторов и протекторов, как платных так и бесплатных. И детектить их нет необходимости, как делает Нод:

Обнаруживается цикл дешифрования, например цикл дешифровки XOR, далее дожидается, пока в регистре ECX не окажется значение 0, что в большинстве случаев означает окончание цикла расшифровки и уже исполняемый код, потом этот код просто сканируется ещё-раз, и понятно что будет детект. :)

3)Про нативный код, он может глючить на более старых системах, типо-там 7-8, на хрюше тоже не заведётся скорей-всего...

Да и вообще скажу по честнаку, я не видел нормального криптора на .Net, все либо детект на запуск, либо краш при запуске !

Мы ещё не рассматривали кстати детект по поведению, как у касперского и облачный анализ, которые вообще детектят думаю близко к 90% таких крипторов ! :)
 
Верх Низ