Вопрос Актуальные методы антиэмуляции


HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Занимаюсь разработкой криптора на основе готовых исходников. Есть участок кода который детектиться эмулятором ряда антивирусов. Часть детектов с помощью методов найденых в паблике мне убить удалось. Но допустим детект таких антивирусов как eset nod 32 убить не получается. Может кто из достоптченых форуманчан помочь/поделиться как убить детект нода и ему подобных антивирусов? Какие на данный момент существуют актуальные методы антиэмуляции? Пробовал разные методы из паблика даже компоновал их не помогает даже трюк из супер криптора с вашего ресурса с выделением памяти и записи в файл не помог. Какие ещё есть варианты? Зарание спасибо)
 

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
Непонятно что-вы хотите обойти, вот небольшей ликбез для начала:

1)Сигнатурный детект, в частности эмуляция кода - По простому антивирус проверяет по сигнатурам путем анализа кода, анализ как статический, так и исполнение кода, исполнение кода и называют эмуляцией.

Да, обойти это можно крипторами, либо приемами из паблика, главное что-бы сами крипторы/методы не палились антивирусами.

НО это бесполезно, т.к. есть второй пункт.

2)Проактивная защита, в частности проверка в памяти.

Из-за этого 90% крипторов теряют свою актуальность, да сканер не будет детектить, например на вирустотале может показываться полный фуд, но при запуске вируса, будет сканирование памяти и детект после раскриптовки, до запуска самого зверька.

Вот в качестве примера, можно сделать запороленный архив с вирусом, антивирус не будет его детектить, но при распаковке, например в папку темп, будет детект.

Все это простое объяснение достаточно сложных методов защиты в антивирусах.

Есть способы обхода, это мутация кода, т.е. после расшифровки мы получаем не код зверька, который есть в сигнатурах, а как-бы измененный код.

Но сделать это в крипторах очень сложно, сам вирус при проектировки должен так работать, т.е. мутировать свой код, часть кода должно-быть скрыто и т.д.

Вот тогда будет успех, в крипторах сейчас особо смысла нет.)
 

-stub-

Пользователь
Первый уровень
Регистрация
19.12.2018
Сообщения
5
Репутация
1
..есть участок кода который детектиться эмулятором ряда антивирусов..
Узнать что срабатывает - сигнатура стаба вашего криптора или эмуляция декрипта можно просто: собери свой криптор с заведомо разными ключами крипта/декрипта. В этом случае эмуляция криптованного файла никогда не сможет что-то задетектить.

..Вот в качестве примера, можно сделать запороленный архив с вирусом, антивирус не будет его детектить, но при распаковке, например в папку темп, будет детект...
И что в этом случае сработает - проактивка? или сигнатурный детект распакованного файла? Кстати - по каким критериям начинается сканирование памяти процесса?
 

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
И что в этом случае сработает - проактивка? или сигнатурный детект распакованного файла?
Конечно сигнатура, ведь после распаковки файл проверит резидентный монитор.)
Кстати - по каким критериям начинается сканирование памяти процесса?
Всё очень просто, после раскриптовки зверька (по сути это бинарный буфер), вы должны либо создать процесс, либо перейти в точку запуска кода (entry).

Вот как-раз отследив апи создания процесса, антивирус и проверит буфер. Также существует много критериев что-бы понять что данные расшифровались, где-то даже тут на форуме более подробно это разьяснялось всё на примере как-раз нода.)
 

-stub-

Пользователь
Первый уровень
Регистрация
19.12.2018
Сообщения
5
Репутация
1
Конечно сигнатура, ведь после распаковки файл проверит резидентный монитор.)
Всё очень просто, после раскриптовки зверька (по сути это бинарный буфер), вы должны либо создать процесс, либо перейти в точку запуска кода (entry)...
Ну новый процесс создавать не надо, и сомневаюсь что аверы ловят все выделения из кучи и их потом сканят, но вот изменения атрибутов доступа к памяти однозначно ловят. А то что по API создания файла запустится опять анализ - это точно.
Просто Ваш пример с запароленным архивом не совсем понятен.

Можно посоветовать ТС писать сразу зверей, с элементами мутации (опыт создания криптора будет нелишним).
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Я благодарен вам господа форуманчане за внимание к моей теме.
Непонятно что-вы хотите обойти, вот небольшей ликбез для начала:
Я хочу обойти именно эмуляцию. При работе со своим криптором я руководствовался этой статьей Малварь как искусство - Эмуляция, антиэмуляция, детект и крипторы
Именно с помощью советов данных (в частности спомощью бесконечного цикла) там я смог определить что куралесит именно эмуляция а не сигнатурный детект.
Да, обойти это можно крипторами, либо приемами из паблика, главное что-бы сами крипторы/методы не палились антивирусами.

НО это бесполезно, т.к. есть второй пункт.
Я знаю про сканирование в памяти но могу вам с увереностью сказать что это не оно так как проверка проводилась на живом антивирусе нод 32 с последней версией баз. Кураслесит с увереностью в 90% эмулятор кода. Так как когда я скоплировал стаб с бесконечным циклом то нод сказал что этот файл не опасный. Значит эмулятор не смог выполнить вреданосную часть кода.
Да, обойти это можно крипторами, либо приемами из паблика, главное что-бы сами крипторы/методы не палились антивирусами.
К сожелению те методы которые я нашел в паблике не помогают обойти эмулятор нода. Собственно за советами по антиэмуляции против нода я сюда и пришел.
2)Проактивная защита, в частности проверка в памяти.

Из-за этого 90% крипторов теряют свою актуальность, да сканер не будет детектить, например на вирустотале может показываться полный фуд, но при запуске вируса, будет сканирование памяти и детект после раскриптовки, до запуска самого зверька.

Вот в качестве примера, можно сделать запороленный архив с вирусом, антивирус не будет его детектить, но при распаковке, например в папку темп, будет детект.

Все это простое объяснение достаточно сложных методов защиты в антивирусах.

Есть способы обхода, это мутация кода, т.е. после расшифровки мы получаем не код зверька, который есть в сигнатурах, а как-бы измененный код.

Но сделать это в крипторах очень сложно, сам вирус при проектировки должен так работать, т.е. мутировать свой код, часть кода должно-быть скрыто и т.д.

Вот тогда будет успех, в крипторах сейчас особо смысла нет.)
Проактивка это потом. Отводом проактивки мы будем заниматся после отвода эмуляции.
 
Последнее редактирование:

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Узнать что срабатывает - сигнатура стаба вашего криптора или эмуляция декрипта можно просто: собери свой криптор с заведомо разными ключами крипта/декрипта. В этом случае эмуляция криптованного файла никогда не сможет что-то задетектить.
Я использую шифрование на основе XOR и криптор из исходников которого я делаю свой вроде производит шифрование/дешифрование по одному ключу.
 

-stub-

Пользователь
Первый уровень
Регистрация
19.12.2018
Сообщения
5
Репутация
1
Я использую шифрование на основе XOR и криптор из исходников которого я делаю свой вроде производит шифрование/дешифрование по одному ключу.
Ну как бе хоть rsa-2048, разные ключи сделать проблема?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
Самое простое, генерируйте ключ на лету, в момент исполнения программы, используя приемы антиэмуляции из паблика, пример:

key - ваш ключ, массив какой-то.

Далее генерируем:

1)Первое значение ключа, это контрольная сумма, 1-2 гигабайтных данных в памяти.

2)Второй значение, это значение счетчика цикла, кторый например считает 30-ть секунд.

Ну и т.д.

Тем самым эмулятор несможет получить ключ и расшивфровать тело зверька.)))

Сейчас с телефона, поэтому простые примеры, просто для понимания идеи...)
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
И еще как было тут сказано, сигнатурный детект и эмуляция, это примитивная костыльная защита и уже пережиток прошлого.

Как-бы антивирусы уже давно делают ставку на другие инструменты.)))

Обход сигнатур/эмуляторов мало чего даст сейчас, по мойму даже с дефолтным антивирусом в винде это не прокатит, но могу и ошибаться.

С нодом, каспером и т.д., это не поможет точно...)
 
Верх Низ