Вопрос Актуальные методы антиэмуляции

[HopefuLXakir]

Самое простое, генерируйте ключ на лету, в момент исполнения программы, используя приемы антиэмуляции из паблика, пример:

key - ваш ключ, массив какой-то.

Далее генерируем:

1)Первое значение ключа, это контрольная сумма, 1-2 гигабайтных данных в памяти.

2)Второй значение, это значение счетчика цикла, кторый например считает 30-ть секунд.

Ну и т.д.

Тем самым эмулятор несможет получить ключ и расшивфровать тело зверька.)))

Сейчас с телефона, поэтому простые примеры, просто для понимания идеи...)

Я рад что вы обратили внимание на мою тему.) Пользуясь случаем хочу выразить вам огромнешую благодарность за ваш труд и ваши статьи могу с увереностью назвать вас воим учителем. Материл похожий на тот что есть ваших статьях я больше в рускоязычном сегменте интернета не нашел. Хотя тема обхода антивирусов очень акктуальна к сожелению по ней мало инфы в инете воссновном готовые решения ввиде всякого рода протекторов и крипторов а вот как самому антивирус обойти к сожелению очень мало и ваш ресурс преуспевает в количестве подобного рода материалов). За что вам и участникам форума огромное спасибо!

Самое простое, генерируйте ключ на лету, в момент исполнения программы, используя приемы антиэмуляции из паблика, пример:

key - ваш ключ, массив какой-то.

Толи я настолько тупой и не понимаю как работает эмуляция толи не понимаю как мне это поможет. Нет действительно как? Если детектиться сам криптор(процесс дешефрования) и судя по бесконечному циклу детектиться именно эмуляцией то как генерация ключа на лету поможет мне? Темболие если использовать паблик методы которые нод с большой вероятностью пропустит и сможет добраться до участка декриптовки и задетектить? Скорее всего я чего-то не понимаю по этому мне бы хотелось чтобы вы изложили всё в деталях? И вы имеете виду под паблик методами способ который представлен в крипторе с вашего ресурса?Или тогда какие методы антиэмуляции лучше использовать против нода?

Далее генерируем:

1)Первое значение ключа, это контрольная сумма, 1-2 гигабайтных данных в памяти.

2)Второй значение, это значение счетчика цикла, кторый например считает 30-ть секунд.

Ну и т.д.

Тут хотелось бы чтобы было понятно что я не гуру программирования как это не прескорбно. Я могу разобраться в чужом коде и на основе готовых исходников сделать свое. Но что-то переписывать/изменять без образца мне очень сложно. Я вообще не думал что мне придеться изменить алгоритм криптовки/раскриптовки. По этому если вы мне поможите или хотя-бы датите пример то с этой задачей я справлюсь хотя я понимаю что это уже выходит за рамки данной темы и моего превоначального вопроса. А так честно скажу что с криптором я работаю без глубоких познаний в програмировании. Hо это не повод чтобы мне отказывать и посылать учить программирование. He смотря на свои знания я готов по трудиться дабы решить свою проблему так что пожалуйста не отказывайте мне в помощи.

 

[HopefuLXakir]

Ну как бе хоть rsa-2048, разные ключи сделать проблема?

Уровень моих знаний как это не прискорбно.

 

[-stub-]

Уровень моих знаний как это не прискорбно.

Ок.
Авер может детектить не только сигнатуру твоего стаба или зверя, он может детектить импорты твоего стаба, подозрительность секции PE файла (их размер, имя, порядок следования, энтропию) - поэтому что бы понять что детектится - просто возьми и поставь ключ криптования и декриптования разным - у тебя для XOR это просто один байт (или последовательность байтов - буфер) - тогда эмуляция неправильным ключем никогда не распакует зверя - значит при этом сможешь понять что детектится только стаб и его статика (импорты, энтропия ...) или звер.

То что тут советуют - тайминги измерять - это не правильно - тайминги разные будут при загрузках системы - одинаковых ключей не получишь - считать CRC файлов можно, но эмулятор это тоже сделает - способ прятать/получать свой ключ можно придумать самому.

 

[HopefuLXakir]

Ок.
Авер может детектить не только сигнатуру твоего стаба или зверя, он может детектить импорты твоего стаба, подозрительность секции PE файла (их размер, имя, порядок следования, энтропию) - поэтому что бы понять что детектится - просто возьми и поставь ключ криптования и декриптования разным - у тебя для XOR это просто один байт (или последовательность байтов - буфер) - тогда эмуляция неправильным ключем никогда не распакует зверя - значит при этом сможешь понять что детектится только стаб и его статика (импорты, энтропия ...) или звер.

То что тут советуют - тайминги измерять - это не правильно - тайминги разные будут при загрузках системы - одинаковых ключей не получишь - считать CRC файлов можно, но эмулятор это тоже сделает - способ прятать/получать свой ключ можно придумать самому.

Хорошо в исходном коде я поменяю ключ спомощью которого шифруется мой файл и сделаю ключи шифрования/дешифрования разными. Допустим я узнаю что детектиться стаб(хотя я в этом и так уверен) что мне сделать дальше чтобы стаб не детектился эмуляцией нода например? Понимаете как-бы это не звучало я пришел за конкретным решением или хотя-бы за хорошим пинком к решению. И придумать что-то свое я просто не в состоянии если-бы я мог придумать что-то свое эту тему я не поднимал бы на вашем прикрасном ресурсе.

 

[HopefuLXakir]

Ок.
Авер может детектить не только сигнатуру твоего стаба или зверя, он может детектить импорты твоего стаба, подозрительность секции PE файла (их размер, имя, порядок следования, энтропию) - поэтому что бы понять что детектится - просто возьми и поставь ключ криптования и декриптования разным - у тебя для XOR это просто один байт (или последовательность байтов - буфер) - тогда эмуляция неправильным ключем никогда не распакует зверя - значит при этом сможешь понять что детектится только стаб и его статика (импорты, энтропия ...) или звер.

То что тут советуют - тайминги измерять - это не правильно - тайминги разные будут при загрузках системы - одинаковых ключей не получишь - считать CRC файлов можно, но эмулятор это тоже сделает - способ прятать/получать свой ключ можно придумать самому.

Особенности исходного кода не позволяют мне воспользоваться вашим советом. Открою вам небольшой секрет ключь находиться не прямо в исходном коде а в header file откуда считывается при шифровании/дешефровании. Переписывать я это не буду уж простите. Я вообще не понимаю зачем эти танцы с бубно!? Мне нужна антиэмуляция а вы мне тут про запуски в памяти и прочие. Я же вам четко сказал что с бесконечным циклом я нашел участок кода который палиться эмулятором. Если бы это был не эмулятор а что-то другое то авер детектил мой файл несмотря даже на бесконечный цикл. И о каком паливе зверя идет речь если я криптую пути? Файл обсалютно без вредный? Да и зверь который я хочу спомощью этого криптора закриптовать антивирусом как совсем другой тип угроз помечается. Так что если-бы палился не стаб а зверь я бы вам сказал. А так четко понятно что палится стаб. Так что давайте решать эту проблему а не с бубном танцевать.)

 

[-stub-]

Тогда все понятно - твой нод детектит школоту. Просто забей.

 

[X-Shar]

Чтобы дать конкретное решение, нужно смотреть сорцы криптора с которым вы работаете, также еще отлаживать на зверьках...

Так методы, которые в паблике рабочие, но нужно их применять правильно.

Анализировать код криптора за бесплатно никто не будет.

Да и за плату лично мне в лом, ибо я уже говорил, но повторюсь, крипторы против современных антивирусов практически бесполезны, пустая трата времени.)

 

[virt]

Понимаете как-бы это не звучало я пришел за конкретным решением или хотя-бы за хорошим пинком к решению.

Хочу ещё добавить, если хотите сами что-то сделать, то вам придется поразбираться, причем самому...

Так-то инфы куча, на этом ресурсе очень мало на самом-деле инфы, но что-то можно взять и от сюда...)

Куча ресурсов где всё это расписано, даже в рунете.

Готовое решение, которое скопировать и вставить нет.

Вам уже сказали, нужно проектировать вирус, так что-бы не требовались крипторы.

Если вы незнаете как и нехотите разбираться, то просто забейте, т.к. тут знаний не мало нужно, как минимум нужно быть кодером средней руки, в целом ничего такого невозможного тут нет, но времени придется потратить, возможно даже и не один месяц...)

А готовое решение вам никто и нигде недаст.

Хороший пинок - Скачайте сорцы крипторов, почитайте статьи.

Если что-то непонимаете, прочитайте манны по языку. Структура PE хорошо описана, также-как и все API, всё на русском языке, вам даже переводы не нужно делать...

В общем-то все так и учаться, по другому даже и незнаю что посоветовать.

 

[HopefuLXakir]

Тогда все понятно - твой нод детектит школоту. Просто забей.

С чего такие выводы? Да исходники из паблика но а что такого? Можете забить.

Чтобы дать конкретное решение, нужно смотреть сорцы криптора с которым вы работаете, также еще отлаживать на зверьках...

Я же вам конкретно говорю что палитcя а вы тут из меня уже совсем дурака делаете. Нет я не как не претендую на гуру а хамить не хочу но такой поворт меня мало устраивает мол иди малец учи мат часть а мы не знаем что у тебя там палиться.

Так методы, которые в паблике рабочие, но нужно их применять правильно.

C чего такие выводы вы их сами то давно тестили? Просто я склоняюсь к тому что то что могло быть актуально месяц назад может быть не акктуально сейчас. Я на собственом опыте могу сказать что детект нода мне это убить не помогло он прекрасно детектит стаб криптора. Начиная с xor байтов.

но нужно их применять правильно.

Тоесть вы мне предлогаете писать криптор заново исходя из вашей идеи которую вы мне описали? Только вы хотя-бы подробней её расписали указали какие методы из паблика лучше использовать против крупных интивирусов.

Анализировать код криптора за бесплатно никто не будет.

Я и не прошу вас анализировать мои исходники темболие платить я за это не кому не собираюсь так как прекрасно сам справлюсь c задачей. Мне нужна лишь помощь к примеру советы примеры исходного кода и тд. Я вроде и не просил за меня код писать.

Да и за плату лично мне в лом, ибо я уже говорил, но повторюсь, крипторы против современных антивирусов практически бесполезны, пустая трата времени.)

Ваше мнение по поводу крипторов считаю не совсем верным но вступать в дискусию не хочу.

Так-то инфы куча, на этом ресурсе очень мало на самом-деле инфы, но что-то можно взять и от сюда...)

Ну вы прям большой молодец) Ну так если вам не влом дайте мне ссылку на это "море инфы" только не на устройство PE файлов а на то где о конкретном обходе антивиря говорится пусть и в теории.

Если вы незнаете как и нехотите разбираться, то просто забейте, т.к. тут знаний не мало нужно, как минимум нужно быть кодером средней руки, в целом ничего такого невозможного тут нет, но времени придется потратить, возможно даже и не один месяц...)

Я не претендую на звание того кто хочет получить лишь готовые решения но и от вас лично я помощи кроме информаци которую я и так знаю не получил. Я надеялся что вы мне расскажите про что-то типа этого

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

А готовое решение вам никто и нигде недаст.

Ну теперь понятно чего вы меня все в какие-то дебри далекие от сути вопроса начали вести. Дабы не палить годноту)

Хороший пинок - Скачайте сорцы крипторов, почитайте статьи.

Качал я сорцы вашего криптора) Ну и что как были детекты так и остались потому-что метод с буферами против крупных антивирусов скорее всего не актуален.

 

[virt]

Никто из вас дурака не делает, да информация которая здесь, более-чем годичной давности, антивирусы меняются.

Возможно что-то добавили, что-бы понять что-там такое нужно разбираться, я не занимаюсь этим профессионально, мне было интересно, я выложил что-то, на тот момент это работало...

Да, как-бы исходники для того и нужны, что-бы на них сделать что-то свое, это своего рода каркас.

Вам дали уже советы, хотя-бы алгоритм шифрования поменять, если даже с этим нехотите разобраться, с чем вы вообще хотите разбираться и как делать какой-то криптор собираетесь ?)

В общем заканчиваю диалог, ибо бесполезно.

Если считаете, что здесь пишут бред, в части даже того-что крипторы в принципе бесполезны, задайте вопросы на более серьёзных бордах: Античат, факкав, xss.is.

Последний в целом развивается сейчас, только врядли вам где-то помогут, с таким подходом. :(