Крипторы бесполезны ?


dencikkkk

Пользователь
Форумчанин
Регистрация
29.07.2015
Сообщения
58
Репутация
13
Вот объясните мне , в чем смысл этих крипторов ?
Все крипторы которые представлены тут , ну и вообще в интернете -> они не скрывают детект при запуске.
Да , при скане они скрывают детект - но какой в этом смысл , если человек все
равно будет запускать файл и тут БАЦ -детект ???

Все вот эти исходники с RunPe , LoadPE инжектом и т.д -> ОНИ БЕСПОЛЕЗНЫ!

Или я в чем то неправ ?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
Мы ещё лет пять про это говорили.

Если только от штатного майкрософтского антивируса скрывать, и-то по мойму уже и он научился такое детектить. :)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
Смотря какой криптор, по хорошему нужно писать не сам криптор, а скрывать части кода, вот можете почитать статьи:

Малварь как искусство - Самомодификация и генерация кода на лету в си. Часть 1. Вкуриваем суть.

Малварь как искусство - Генерация кода на си. Часть вторая. Исполняем код на лету

Малварь как искусство - Модификация кода. Часть три. Дополнение.

Вот пример как реагируют на крипторы антивирусы, когда-то чисто ради интереса сделал простенький криптор:Программа ИБ - Исходник простого криптора/протектора с антиэмуляцией на С++

Да на скан почти все были фуд, если почистить также будут фуд. Но если у антивируса есть возможность детектить при запуске, то будет дтект, т.к. он распакует вирус в памяти и проверит его сигнатурно.

Но не у всех антивирусов есть такая возможность, также не стоит забывать, что сами крипторы могут-быть задетектены проактивно, например по структуре PE-файла, или по поведению.

Тогда почему везде на них продолжается спрос?
Люди мало понимают, что сигнатурный детект устарел и мало-кто тестирует на запуск. :)

А продавцы этим пользуются.

Также многое зависит от детекта на малварь, если малварь не популярна и её детектят по хешу например, то такие криптоы могут-быть эффективны, но недолго. :)
 

dencikkkk

Пользователь
Форумчанин
Регистрация
29.07.2015
Сообщения
58
Репутация
13

dencikkkk

Пользователь
Форумчанин
Регистрация
29.07.2015
Сообщения
58
Репутация
13
Смотря какой криптор, по хорошему нужно писать не сам криптор, а скрывать части кода, вот можете почитать статьи:

Малварь как искусство - Самомодификация и генерация кода на лету в си. Часть 1. Вкуриваем суть.

Малварь как искусство - Генерация кода на си. Часть вторая. Исполняем код на лету

Малварь как искусство - Модификация кода. Часть три. Дополнение.

Вот пример как реагируют на крипторы антивирусы, когда-то чисто ради интереса сделал простенький криптор:Программа ИБ - Исходник простого криптора/протектора с антиэмуляцией на С++

Да на скан почти все были фуд, если почистить также будут фуд. Но если у антивируса есть возможность детектить при запуске, то будет дтект, т.к. он распакует вирус в памяти и проверит его сигнатурно.

Но не у всех антивирусов есть такая возможность, также не стоит забывать, что сами крипторы могут-быть задетектены проактивно, например по структуре PE-файла, или по поведению.


Люди мало понимают, что сигнатурный детект устарел и мало-кто тестирует на запуск. :)

А продавцы этим пользуются.

Также многое зависит от детекта на малварь, если малварь не популярна и её детектят по хешу например, то такие криптоы могут-быть эффективны, но недолго. :)

Ну типо в итоге все равно упритаетсч в слова "спалится при запуске".
По статьям - бло , там с++ , я ток в Delphi шарю пхаха
 
Верх Низ