Малварь как искусство Полиморфный генератор мусора

[virt]

Так получается для таких проектов лучше всего использовать асм?

Можно на си, но тогда придется работать с опкодами и тогда ещё менее читаемо будет...

Тут сами движки, можно обернуть в библиотеку и основную часть писать на си, сами движки подключать как библиотеки.

Я подумываю доработать свой паблик криптор, как-раз:

- Использовать эти движки, типо полиморфный декриптор + нормальная генерация треш-кода (Не-то что у меня получалось до этого, хе-хе).

- Лоад-пе хочу доработать, но там он так-же будет запускаться как шелл-код + может мутацию сделаю.

- Гуй надо-бы сделать, но это фигня, самое интересное первые два пункта.

Но как я уже сказал, как обойти детект в памяти процесса ?
Тем не менее может-быть полезно для чего-то.

Правда незнаю когда это будет, тут то некогда, то лень...

 

[0b170xor]

Но как я уже сказал, как обойти детект в памяти процесса ?

Так а что мешает в память закинуть как обманку нормальный достоверный процесс, например тот же винрар закинуть и запустить параллельно процесс например архивации. Конечно винрар не опенсоурс, но я как пример. Все равно будет детект?

 

[HopefuLXakir]

Но как я уже сказал, как обойти детект в памяти процесса ?

С помощью анти хука. Я уже кинул проект написный под bitdefender его также можно переписать и под аваст к примеру. Cтранно что не кто не обратил внимание.

 

[0b170xor]

С помощью анти хука. Я уже кинул проект написный под bitdefender его также можно переписать и под аваст к примеру. Cтранно что не кто не обратил внимание.

Я нашел от тебя запись только эту последнюю.

Если честно для меня эта информация не какой особой пользы не предсталяет так как не содержит решения моей проблемы. Вообщем как я понял с полихахаус мне не кто помогать не хочет и проект не кого не интересует. Может вы знаете хотя-бы какой-то метод anti-memory scan? Подобная штука часто используеться во всяких читах для обхода анти-чит защиты. Я сам лично пытался на гите найти нужный код но нашел только такой проект который вроде надо допиливать

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[HopefuLXakir]

Я нашел от тебя запись только эту последнюю.

Про анти хук я писал в этой теме. Кстати метод с виртуальной машиной тоже очень хорошо работает от поведенческого анализа аваста например.

 

[0b170xor]

@HopefuLXakir, да блин от аваста спокойно можно прятать в ресурсы и шифровать ресы под AES и все минус детект кроме есета с каспом.
Возможно ошибаюсь, но по тестам я чекал через спиралскан. Опять же на практике не проверял, особо времени не было.

P.S. Поправка это .net, преобразование в натив убивало все кроме есета, но опять же на практике не тестил

 

[HopefuLXakir]

@HopefuLXakir, да блин от аваста спокойно можно прятать в ресурсы и шифровать ресы под AES и все минус детект кроме есета с каспом.
Возможно ошибаюсь, но по тестам я чекал через спиралскан. Опять же на практике не проверял, особо времени не было.

P.S. Поправка это .net, преобразование в натив убивало все кроме есета, но опять же на практике не тестил

Это в скантайме но в памяти аваст просто либо с помощью хука либо с помощью поиска сигнатуры спалит ваш файл. Рантайм достаточно серьезная проблема самый верный способ это писать вм которая бы интрепретировала код вашего файла тогда детекта не будет.

 

[Jefferson]

Но как я уже сказал, как обойти детект в памяти процесса ?

ВМ, как вариант.

 

[0b170xor]

Это в скантайме но в памяти аваст просто либо с помощью хука либо с помощью поиска сигнатуры спалит ваш файл. Рантайм достаточно серьезная проблема самый верный способ это писать вм которая бы интрепретировала код вашего файла тогда детекта не будет.

А понял прикол, тогда почему шар пытается по-старому через движки работать?

 

[virt]

А понял прикол, тогда почему шар пытается по-старому через движки работать?

Дык криптор должен состоять из модулей:

- Декриптор.
- Антиэмуляция.
- Да, виртуальные машины, если это возможно.

Про движки, которые тут приведены, это полиморфный декриптор и генерация мусора, для усложнения исследования кода.