is possible crypt my exe with openssl ?


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
Многие антивирусы могут проверять области памяти, которые помечены как на исполнение.

Вот пример, как только вы сделаете область памяти на исполнение (Например Virtualprotec) и запустите свою программу, антивирус проверит содержимое перед запуском.)

Поэтому я-бы этими крипторами особо не заморачивался, достаточно простых методов шифрования и антиэмуляции.

Т.к. это обходит часто только сигнатурынй детект и эмуляцию кода.

Но не обходит детекты по поведению и т.д.

В первую очередь сам зверек должен-быть чистый, а вся это мешура с крипторами, это просто усложнение анализа и возможно может повлиять на время жизни зверька, не более сейчас.)
 

alexandro1998

Пользователь
Форумчанин
Регистрация
08.12.2023
Сообщения
26
Репутация
10
Многие антивирусы могут проверять области памяти, которые помечены как на исполнение.

Вот пример, как только вы сделаете область памяти на исполнение (Например Virtualprotec) и запустите свою программу, антивирус проверит содержимое перед запуском.)

Поэтому я-бы этими крипторами особо не заморачивался, достаточно простых методов шифрования и антиэмуляции.

Т.к. это обходит часто только сигнатурынй детект и эмуляцию кода.

Но не обходит детекты по поведению и т.д.

В первую очередь сам зверек должен-быть чистый, а вся это мешура с крипторами, это просто усложнение анализа и возможно может повлиять на время жизни зверька, не более сейчас.)
Кстати про анти-эмуляцию и антивиртуалки - есть что на читый Си? На плюсах это было полегче, не говоря уж о шарпе. Единственное что против эмуляторов пока проверяю мышь - клики + рандом количество движений.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
Единственное что против эмуляторов пока проверяю мышь - клики + рандом количество движений.
На хуки детект антивирусов сразу.)

Самое простое, это генерация ключа и атака на ресурсы эмулятора.

Но-там эмулятор обычно меньше секунды эмулирует код, вот долгое генерация ключа первый способ, второй способ использовать в качестве генерации ключа коды возврата некоторых API, вот например как я делал в этой теме:Малварь как искусство - Фреймворк для тестирования антивирусов

Запускается поток, в котором происходит ожидание 5 секунд, при помощи таймера.

А в основном потоке происходит ожидание завершение запущенного потока, но в течении 2 секунд, короче при нормальной ситуации основной поток не должен дождаться завершение дочернего и функция NtWaitForSingleObject должна выйти после 2 сек. ожидания с ошибкой STATUS_TIMEOUT.

Так-вот ключ будет значением status NtWaitForSingleObject + 2.

Вот ты знаешь что при нормальной ситуации у тебя ключ STATUS_TIMEOUT+ 2, но по коду это не видно, вот:

Можно усложнить это добавив ещё какие-то хитрые вычисления, например брут ключа дальше...)

Хотя оно и так почти все антивирусы сбивает.)

Но это обход только статик. детекта и эмулятора, не более.)
 

alexandro1998

Пользователь
Форумчанин
Регистрация
08.12.2023
Сообщения
26
Репутация
10
На хуки детект антивирусов сразу.)
К сожалению да, не просто (невозможно) обойти напрямую хук. Опробовал твой метод, про gcc - я писал). Пока не успел перейти на cl или студию, работы перед НГ навалом, больше фич и фиксов требуют :(
 
Верх Низ