is possible crypt my exe with openssl ?

[X-Shar]

Многие антивирусы могут проверять области памяти, которые помечены как на исполнение.

Вот пример, как только вы сделаете область памяти на исполнение (Например Virtualprotec) и запустите свою программу, антивирус проверит содержимое перед запуском.)

Поэтому я-бы этими крипторами особо не заморачивался, достаточно простых методов шифрования и антиэмуляции.

Т.к. это обходит часто только сигнатурынй детект и эмуляцию кода.

Но не обходит детекты по поведению и т.д.

В первую очередь сам зверек должен-быть чистый, а вся это мешура с крипторами, это просто усложнение анализа и возможно может повлиять на время жизни зверька, не более сейчас.)

 

[alexandro1998]

Многие антивирусы могут проверять области памяти, которые помечены как на исполнение.

Вот пример, как только вы сделаете область памяти на исполнение (Например Virtualprotec) и запустите свою программу, антивирус проверит содержимое перед запуском.)

Поэтому я-бы этими крипторами особо не заморачивался, достаточно простых методов шифрования и антиэмуляции.

Т.к. это обходит часто только сигнатурынй детект и эмуляцию кода.

Но не обходит детекты по поведению и т.д.

В первую очередь сам зверек должен-быть чистый, а вся это мешура с крипторами, это просто усложнение анализа и возможно может повлиять на время жизни зверька, не более сейчас.)

Кстати про анти-эмуляцию и антивиртуалки - есть что на читый Си? На плюсах это было полегче, не говоря уж о шарпе. Единственное что против эмуляторов пока проверяю мышь - клики + рандом количество движений.

 

[X-Shar]

Единственное что против эмуляторов пока проверяю мышь - клики + рандом количество движений.

На хуки детект антивирусов сразу.)

Самое простое, это генерация ключа и атака на ресурсы эмулятора.

Но-там эмулятор обычно меньше секунды эмулирует код, вот долгое генерация ключа первый способ, второй способ использовать в качестве генерации ключа коды возврата некоторых API, вот например как я делал в этой теме:Малварь как искусство - Фреймворк для тестирования антивирусов

Запускается поток, в котором происходит ожидание 5 секунд, при помощи таймера.

А в основном потоке происходит ожидание завершение запущенного потока, но в течении 2 секунд, короче при нормальной ситуации основной поток не должен дождаться завершение дочернего и функция NtWaitForSingleObject должна выйти после 2 сек. ожидания с ошибкой STATUS_TIMEOUT.

Так-вот ключ будет значением status NtWaitForSingleObject + 2.

Вот ты знаешь что при нормальной ситуации у тебя ключ STATUS_TIMEOUT+ 2, но по коду это не видно, вот:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Можно усложнить это добавив ещё какие-то хитрые вычисления, например брут ключа дальше...)

Хотя оно и так почти все антивирусы сбивает.)

Но это обход только статик. детекта и эмулятора, не более.)

 

[alexandro1998]

На хуки детект антивирусов сразу.)

К сожалению да, не просто (невозможно) обойти напрямую хук. Опробовал твой метод, про gcc - я писал). Пока не успел перейти на cl или студию, работы перед НГ навалом, больше фич и фиксов требуют :(