Вопрос Как обойти детект в памяти. (1 Viewer)

Пользователи, которые просматривают: тема

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Имееться полиформный криптор (полиформизм только стаба) на C++, в скантайме полный FUD. Криптую ним паблик стиллер (Azor) проверяю скантайм криптор отрабатывает нормально запускает стилллер через RunPE и когда стиллер стучит в панель антивирус детектит его по поведению в памяти. Можно конечно реверснуть билд стиллера и поменять поведение но мне интересно как реализовать обход проактивки в крипторе. Интресует именно реализация. Может есть где-то на гитхабе или на просторах гуглап проект где реализовано то что мне нужно? Зарание спасибо за ответы!
 

virt

Просветленный
Просветленный
Регистрация
24.11.2016
Сообщения
706
Репутация
221
По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...

Как вариант можно пройтись этим DarthTon/Polychaos перед криптовкой например.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
По поведению в самом крипторе никак необойдешь детект, это нужно делать в самом зверьке...
Удивительно на рынке есть крипторы которые если ими криптовать даже паблик вредоносы в рантайме в том числе и по поведению полный или почти полный FUD. Cответственно должны же быть способы реализовать это в крипторе?

Как вариант можно пройтись этим DarthTon/Polychaos перед криптовкой например.
Cпасибо попробую заюзать в своем крипторе но это пермутация и она расспостраняеться только на исходники моего стаба. В моем случае от рантайма это меня не спасет. Детектиться не криптор а криптуемый азор а исходников азора в паблике я не встречал.

Ну либо морфить сам PE, опять-же перед криптовкой, но если зверек детектится по поведению, тут ничего не сделать уже...:(
Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.
 

skales007

Пользователь
Форумчанин
Регистрация
26.03.2019
Сообщения
9
Менять поведение для этого деассамблерить билд зверька но меня как я уже сказал интересует решение которое можно развернуть в крипторе.
Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 652
Репутация
7 825
в том числе и по поведению полный или почти полный FUD.
Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?

Вот сами подумайте, криптор, просто запускает вашего зверька в памяти.

Все остальное, уже нужно реализовывать в самом зверьке.

Что можно сделать в крипторе ?

Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.
 

skales007

Пользователь
Форумчанин
Регистрация
26.03.2019
Сообщения
9
Мутировать PE ? Можно, но тяжело незная исходника, к тому-же неэффективно против детекта по поведению.
Я уже пытался однажды чистить так билд стиллера. Долго и муторно это было, особенно учитывая то, что палились разные функции. Но, мне кажется, что сделать это реально в автоматическом режиме, т.е. морфить PE.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 652
Репутация
7 825
Но это обход сигнатур в памяти, но не поведение.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 652
Репутация
7 825
и она расспостраняеться только на исходники моего стаба.
Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...

Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))
 

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Ну детект, возможно, и не по поведению вовсе. Я так понимаю, у вас просто билд расшифровывается в памяти, и АВ его уже там детектит. Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
Avast четко пишет что детектит по поведению.
Про морфинг, я считаю, правильно сказали. Пусть ваш криптор меняет ассемблерные инструкции файла на аналогичные, такого же размера, например. Тогда в памяти АВ его уже не узнает.
Есть готовые проекты где можно посмотреть подобную реализацию?
 
Последнее редактирование:

HopefuLXakir

Уважаемый пользователь
Форумчанин
Регистрация
14.11.2018
Сообщения
82
Репутация
9
Действительно удивительно, вы лично проверяли, или это то-что пишут, те-кто пытается продать ?
Я не проверял но платные сканеры врать не станут.

А чем полихаус не нравится ?

Там движок от "Виликого Зомбы".)))

Можно собрать и выложить тут, мутировать перед криптом, как вариант.

Я не пробовал, но собирать вроде нужно в 2013 студии...
Во первых я не совсем понимаю как он сможет обработать скомпилиный файл.
Во вторых есть ли на самом движке детекты? Просто я сомневаюсь что смогу переписать движок blush1

Вы непоняли.

Нужно обработать азор этой программой, а потом уже криптовать...
Если не сложно можно пожалуйста инструкцию не большую как проект собирать а то с первого взгляда не особо понятно...
Но нефакт, что она отработает, также нефакт, что это спасет от детектов.)))
Будем думать как сделать так чтобы спастись) Ну как я понял рантайм нужно побеждать перед криптовкой? А в крипторе это делать сложно да и смысла не имеет(это можно сделать и самому в ручную)?
 
Автор темы Похожие темы Форум Ответы Дата
X-Shar ВОПРОС-ОТВЕТ. БАРАХОЛКА 0
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 0
NeLamer ВОПРОС-ОТВЕТ. БАРАХОЛКА 10
0b170xor ВОПРОС-ОТВЕТ. БАРАХОЛКА 6
Platon666 ВОПРОС-ОТВЕТ. БАРАХОЛКА 4
D ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 27
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 18
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 2
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 19
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 14
ason ВОПРОС-ОТВЕТ. БАРАХОЛКА 23
сега ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
RobinXak ВОПРОС-ОТВЕТ. БАРАХОЛКА 20
Похожие темы
Вопрос Как мне стать специалистом по информационной безопасности
Вопрос Как чистить криптор?
Вопрос Какую команду прописать в bat файле, чтобы он при открытии на компе левого человека добавлял другой файл (скаченный) ему в автозагрузку?
Вопрос Какой свитч взять для моих целей?
Вопрос Как запутать код C++?
Как правильно использовать классический HIPS ?
Подскажите,как запустить hikka в linux
Как добавить новые эксплойты в Router Scan by Stas’M
Подскажи как сделать чтобы с генерируемый файл в veil-evasion, на машине жертвы все время загружался
Подскажите как переделать TeamViewer под RMS
Подскажите новичку как создать alias для Veil-еvasion
Как добавить вирус в windows iso
Как правильно настроить в virtual box сетевой адаптер/тип подключения на обоих виртуальных машинах
Как изменить Apple ID?
Вопрос Как найти видео карту: GeForce 120m?
Как вычислить вирус в компьютере?
Верх Низ