• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Вопрос Как обойти детект в памяти.


HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Имееться полиформный криптор (полиформизм только стаба) на C++, в скантайме полный FUD. Криптую ним паблик стиллер (Azor) проверяю скантайм криптор отрабатывает нормально запускает стилллер через RunPE и когда стиллер стучит в панель антивирус детектит его по поведению в памяти. Можно конечно реверснуть билд стиллера и поменять поведение но мне интересно как реализовать обход проактивки в крипторе. Интресует именно реализация. Может есть где-то на гитхабе или на просторах гуглап проект где реализовано то что мне нужно? Зарание спасибо за ответы!
 

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
228
По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...

Как вариант можно пройтись этим перед криптовкой например.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...
Удивительно на рынке есть крипторы которые если ими криптовать даже паблик вредоносы в рантайме в том числе и по поведению полный или почти полный FUD. Cответственно должны же быть способы реализовать это в крипторе?

Как вариант можно пройтись этим перед криптовкой например.
Cпасибо попробую заюзать в своем крипторе но это пермутация и она расспостраняеться только на исходники моего стаба. В моем случае от рантайма это меня не спасет. Детектиться не криптор а криптуемый азор а исходников азора в паблике я не встречал.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(
Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.
 

skales007

Пользователь
Форумчанин
Регистрация
26.03.2019
Сообщения
9
Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.
Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
в том числе и по поведению полный или почти полный FUD.
Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?

Вот сами подумайте, криптор, просто запускает вашего зверька в памяти.

Все остальное, уже нужно реализовывать в самом зверьке.

Что можно сделать в крипторе ?

Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.
 

skales007

Пользователь
Форумчанин
Регистрация
26.03.2019
Сообщения
9
Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.
Я уже пытался однажды чистить так билд стиллера. Долго и муторно это было, особенно учитывая то, что палились разные функции. Но, мне кажется, что сделать это реально в автоматическом режиме, т.е. морфить PE.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Но это обход сигнатур в памяти, но не поведение.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
и она расспостраняеться только на исходники моего стаба.
Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...

Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
Avast четко пишет что детектит по поведению.
Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
Есть готовые проекты где можно посмотреть подобную реализацию?
 
Последнее редактирование:

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?
Я не проверял но платные сканеры врать не станут.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...
Во первых я не совсем понимаю как он сможет обработать скомпилиный файл.
Во вторых есть ли на самом движке детекты? Просто я сомневаюсь что смогу переписать движок blush1

Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...
Если не сложно можно пожалуйста инструкцию не большую как проект собирать а то с первого взгляда не особо понятно...
Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))
Будем думать как сделать так чтобы спастись) Ну как я понял рантайм нужно побеждать перед криптовкой? А в крипторе это делать сложно да и смысла не имеет(это можно сделать и самому в ручную)?
 
Автор темы Похожие темы Форум Ответы Дата
IvanPetrov ВОПРОС-ОТВЕТ. БАРАХОЛКА 11
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 0
NeLamer ВОПРОС-ОТВЕТ. БАРАХОЛКА 10
0b170xor ВОПРОС-ОТВЕТ. БАРАХОЛКА 6
Platon666 ВОПРОС-ОТВЕТ. БАРАХОЛКА 4
D ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 27
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 18
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 2
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 19
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 14
ason ВОПРОС-ОТВЕТ. БАРАХОЛКА 23
сега ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
RobinXak ВОПРОС-ОТВЕТ. БАРАХОЛКА 20
Верх Низ