Малварь как искусство Простой движок мутирования исполняемого файла

X-Shar · 09.06.2019

От детекта по поведению, это не поможет, конечно...)))

Смысл такой, даже когда вы запускаете через инжект, что уже подозрительное поведение, с точки зрения антивируса, процесс все-равно проверяется.

Инжект в процесс хорош для маскировки, но может-быть плох с точки зрения антивирусов хотя если запускать безобидный процесс, то детекта нет, значит сам инжект как таковой, это не табу для антивирусов.

Конкретно ваш случай, это скорей-всего детект все-таки в памяти, либо у аваста какие-то поведеньчиские сигнатуры, характерные для азора т.к. детект явный, азор, думаю детект в памяти при проверки процесса.

Как вариант обхода (сложный) , и врядли кто-то будет делать, это помимо мутации добавлять свой мусорный код, т.е. разные ветвления, расчеты и т.д.

В таком случае, антивирусу будет сложно по сигнатуре задетектить уже..

Частично это реализовано в полихаусе, но работает только с вижуалкой, есть способ адаптировать под 2017.

Возможно, можно для делфи сделать...

Для всех исполняемых файлов это тяжело сделать, там проблемы...)))

HopefuLXakir · 10.06.2019

X-Shar сказал(а):
Конкретно ваш случай, это скорей-всего детект все-таки в памяти, либо у аваста какие-то поведеньчиские сигнатуры, характерные для азора т.к. детект явный, азор, думаю детект в памяти при проверки процесса.

Это явно детект в памяти по поведению. И да вы правы что детект происходит только при инжекте азора если инжектиться безобидный файл (например путти) то детекта нет.

X-Shar сказал(а):
Частично это реализовано в полихаусе, но работает только с вижуалкой, есть способ адаптировать под 2017.

Можете пожалуйста поделиться способом как адаптировать полихаус под 2017 вижуал студиа? Так как у меня полихаус компилируеться но файлы не пермутирует (кроме себя). Я кстати начал переписывать полихаус под эту библиотеку

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

но так как полихаус написан под библеотеку kamio а она отличаеться enma_pe то пока я в этом не сильно приуспел.

X-Shar · 10.06.2019

HopefuLXakir сказал(а):
Можете пожалуйста поделиться способом как адаптировать полихаус под 2017 вижуал студиа?

Он будет работать только с проектами 2017, т.е. собранными в 2017.

HopefuLXakir · 10.06.2019

X-Shar сказал(а):
Он будет работать только с проектами 2017, т.е. собранными в 2017.

Как сделать чтобы работал не только с проектами 2017 :)
Если переписать полихаус под

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

то с дельфином и т.п он будет работать?

HopefuLXakir · 10.06.2019

X-Shar сказал(а):
Он будет работать только с проектами 2017, т.е. собранными в 2017.

Вопрос конечно очень тупой и плохо сформированый но каким образом я могу переписать полихаус под выше указаную библеотеку она отличаеться от kamio и я так скажем немного теряюсь в таком большом количестве кода Не въехал!!!

Edith Wooten · 10.06.2019

HopefuLXakir сказал(а):
Вопрос конечно очень тупой и плохо сформированый но каким образом я могу переписать полихаус под выше указаную библеотеку она отличаеться от kamio и я так скажем немного теряюсь в таком большом количестве кода

а вы улучшайте скилл

HopefuLXakir · 10.06.2019

Edith Wooten сказал(а):
а вы улучшайте скилл

Дело не совсем в скилле. Я же не спрашиваю что такое класс или пространство имен в С++? Допустим в kamio есть класс pe_factori а какой аналог данного класс есть в enma_pe? дело не в скилле а в том что в одиночку сложно сразу разобраться в двух отличающихся библиотеках да ещё плохо документированых. Допустим в kamio во всех файлах библиотеки используеться одно пространство имен pe_bliss благодаря чему библиотеку легче подключать в другие проекты в pe_emna этого нет.

X-Shar · 10.06.2019

Там структуры конфиг директори разного размера, пофиксишь структуру для 2017 вижуалки, то отвалится 2013, гы-гы.

С делфи несмотрел, но компилировал тестовый проект на асме, там еще ошибки возникают, указатели битые и т.д.

Короче забил...)

HopefuLXakir · 11.06.2019

X-Shar сказал(а):
Там структуры конфиг директори разного размера, пофиксишь структуру для 2017 вижуалки, то отвалится 2013, гы-гы.

С делфи несмотрел, но компилировал тестовый проект на асме, там еще ошибки возникают, указатели битые и т.д.

Короче забил...)

Если честно для меня эта информация не какой особой пользы не предсталяет так как не содержит решения моей проблемы. Вообщем как я понял с полихахаус мне не кто помогать не хочет и проект не кого не интересует. Может вы знаете хотя-бы какой-то метод anti-memory scan? Подобная штука часто используеться во всяких читах для обхода анти-чит защиты. Я сам лично пытался на гите найти нужный код но нашел только такой проект который вроде надо допиливать

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

HopefuLXakir · 11.06.2019

Есть ещё такой проект

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

но он на С#

Обратная связь:[email protected]

Наш канал в telegram:https://t.me/ru_sfera

Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Малварь как искусство Простой движок мутирования исполняемого файла

X-Shar

:)

HopefuLXakir

Уважаемый пользователь

X-Shar

:)

HopefuLXakir

Уважаемый пользователь

HopefuLXakir

Уважаемый пользователь

Edith Wooten

Уважаемый пользователь

HopefuLXakir

Уважаемый пользователь

X-Shar

:)

HopefuLXakir

Уважаемый пользователь

HopefuLXakir

Уважаемый пользователь