Вопрос Как обойти детект в памяти.

[HopefuLXakir]

Имееться полиформный криптор (полиформизм только стаба) на C++, в скантайме полный FUD. Криптую ним паблик стиллер (Azor) проверяю скантайм криптор отрабатывает нормально запускает стилллер через RunPE и когда стиллер стучит в панель антивирус детектит его по поведению в памяти. Можно конечно реверснуть билд стиллера и поменять поведение но мне интересно как реализовать обход проактивки в крипторе. Интресует именно реализация. Может есть где-то на гитхабе или на просторах гуглап проект где реализовано то что мне нужно? Зарание спасибо за ответы!

 

[virt]

По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...

Как вариант можно пройтись этим

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

перед криптовкой например.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(

 

[HopefuLXakir]

По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...

Удивительно на рынке есть крипторы которые если ими криптовать даже паблик вредоносы в рантайме в том числе и по поведению полный или почти полный FUD. Cответственно должны же быть способы реализовать это в крипторе?

Как вариант можно пройтись этим

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

перед криптовкой например.

Cпасибо попробую заюзать в своем крипторе но это пермутация и она расспостраняеться только на исходники моего стаба. В моем случае от рантайма это меня не спасет. Детектиться не криптор а криптуемый азор а исходников азора в паблике я не встречал.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(

Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.

 

[skales007]

Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.

Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.

 

[X-Shar]

в том числе и по поведению полный или почти полный FUD.

Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?

Вот сами подумайте, криптор, просто запускает вашего зверька в памяти.

Все остальное, уже нужно реализовывать в самом зверьке.

Что можно сделать в крипторе ?

Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.

 

[skales007]

Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.

Я уже пытался однажды чистить так билд стиллера. Долго и муторно это было, особенно учитывая то, что палились разные функции. Но, мне кажется, что сделать это реально в автоматическом режиме, т.е. морфить PE.

 

[X-Shar]

Но это обход сигнатур в памяти, но не поведение.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...

 

[X-Shar]

и она расспостраняеться только на исходники моего стаба.

Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...

Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))

 

[HopefuLXakir]

Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.

Avast четко пишет что детектит по поведению.

Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.

Есть готовые проекты где можно посмотреть подобную реализацию?

 

[HopefuLXakir]

Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?

Я не проверял но платные сканеры врать не станут.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...

Во первых я не совсем понимаю как он сможет обработать скомпилиный файл.
Во вторых есть ли на самом движке детекты? Просто я сомневаюсь что смогу переписать движок

Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...

Если не сложно можно пожалуйста инструкцию не большую как проект собирать а то с первого взгляда не особо понятно...

Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))

Будем думать как сделать так чтобы спастись) Ну как я понял рантайм нужно побеждать перед криптовкой? А в крипторе это делать сложно да и смысла не имеет(это можно сделать и самому в ручную)?