-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
ВАЖНО Учимся обходить детект антивирусов - Часть 1.
- Автор темы X-Shar
- Дата начала
- Регистрация
- 01.09.2016
- Сообщения
- 11
- Репутация
Довольно редкая ситуация, гораздо реже, чем с нативным кодом, на практике встречал только 1 раз.
В отличии от нативного кода, который можно дизассемблировать и долго в нем разбираться, код .Net можно просто открыть рефлектором, и увидеть исходник прямо на С#, чтобы такого не было, практически любая коробочная программа защищается всякого рода обфускаторами/крипторами и т.д. Этим крипторам/обфускаторам пофиг на размер стаба, да, NOD детектит как вирус программу обфусцированную .Net Reactor (который для защиты применяет обфускацию, шифрование, шифрование ресурсов и NecroBit), но это скорее в минус NODу. Поэтому уделять большое внимание энтропии в .Net приложениях для АВ - это скользкая дорожка.
Да даже стаб детектить тоже пролематично, ведь вирус могут криптануть криптором, который широко используется в ентерпрайзе. И если всё что защищено этим криптором будет вдруг детектиться как вирус, многие компании могут отказатья от этого АВ
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
0x0, ты немного непонял про-что я написал:
1)Чем больше вес стаба/программы, тем увеличивается энтропия, а особенно если в программе будет куча мусора, то антивирусы уже могут задетектить такую программу, некоторые как авира например, сразу делают детект, даже по структуре PE-файла, кто-то после запуска, это первое.
2)Второе, про обфускаторы и шифрование кода, антивирусы довольно давно умеют распаковывать и расшифровывать код большинства обфускаторов и протекторов, как платных так и бесплатных. И детектить их нет необходимости, как делает Нод:
Обнаруживается цикл дешифрования, например цикл дешифровки XOR, далее дожидается, пока в регистре ECX не окажется значение 0, что в большинстве случаев означает окончание цикла расшифровки и уже исполняемый код, потом этот код просто сканируется ещё-раз, и понятно что будет детект. :)
3)Про нативный код, он может глючить на более старых системах, типо-там 7-8, на хрюше тоже не заведётся скорей-всего...
Да и вообще скажу по честнаку, я не видел нормального криптора на .Net, все либо детект на запуск, либо краш при запуске !
Мы ещё не рассматривали кстати детект по поведению, как у касперского и облачный анализ, которые вообще детектят думаю близко к 90% таких крипторов ! :)
1)Чем больше вес стаба/программы, тем увеличивается энтропия, а особенно если в программе будет куча мусора, то антивирусы уже могут задетектить такую программу, некоторые как авира например, сразу делают детект, даже по структуре PE-файла, кто-то после запуска, это первое.
2)Второе, про обфускаторы и шифрование кода, антивирусы довольно давно умеют распаковывать и расшифровывать код большинства обфускаторов и протекторов, как платных так и бесплатных. И детектить их нет необходимости, как делает Нод:
Обнаруживается цикл дешифрования, например цикл дешифровки XOR, далее дожидается, пока в регистре ECX не окажется значение 0, что в большинстве случаев означает окончание цикла расшифровки и уже исполняемый код, потом этот код просто сканируется ещё-раз, и понятно что будет детект. :)
3)Про нативный код, он может глючить на более старых системах, типо-там 7-8, на хрюше тоже не заведётся скорей-всего...
Да и вообще скажу по честнаку, я не видел нормального криптора на .Net, все либо детект на запуск, либо краш при запуске !
Мы ещё не рассматривали кстати детект по поведению, как у касперского и облачный анализ, которые вообще детектят думаю близко к 90% таких крипторов ! :)
| Автор темы | Похожие темы | Форум | Ответы | Дата |
|---|---|---|---|---|
|
ВАЖНО Учимся обходить детект антивирусов - Часть 2 – Внедрение бэкдора в PE-файл | Крипторы и исследование защиты | 0 |