Антиэмуляция, кто чо юзает

Тема в разделе "Крипторы и исследование защиты", создана пользователем X-Shar, 20 ноя 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    -pics_max-images_2.

    Незнаю будет-ли актуальна эта тема, но т.к. тема важная и сурьёзная, а инфы практически нет и если такую тему создать на хацкерских ресурсах, то сразу будет бан за тупизм, поэтому решил создать здесь...Dmeh-Smeh-Smeh!!!

    902b5b226f0a.

    Итак, предлагаю здесь обсуждать антиэмуляцию, хотя-бы теорию как там, да-что !

    Для тех-кто в танке, что такое антиэмуляция и зачем оно нужно ?

    Антивирусы, в момент проверки эмулируют код и если в этом коде "Затерялось" что-то вредоносное, АВ начинает детектить:

    1247634943_1246970402_1246897683_ar2lj8k13t64-large.

    Часто хакеры что-бы скрыть вирус криптуют его, а после раскриптовки вирус должен запуститься в памяти, так вот если небудет антиэмуляции, то всё это бесполезно, т.к. АВ доберётся до вредоносного кода в момент проверки, обычно антиэмуляция как-раз и применяется что-бы скрыть от АВ расшифровку и запуск вируса в памяти...

    Короче интересует любая инфа про антиэмуляцию...

    И ещё, кто-нить занет как обойти детект таких АВ как ДокторВеб и Нод в момент запуска, т.е. детект в памяти ?

    10921.

    Короче подключайтесь к обсуждениям, интересна даже теория, если еть что сказать !

    З.Ы. На картинки необращайте внимание, просто это у меня крышняк снесло...Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 5
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.175
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Увидел на факаве эту хрень.Правда видос на ютубе помер.Остался лишь экзешник.Цитирую:
    Решением проблемы для сервера является изменение точки входа запуска программы
    [​IMG]

    [​IMG]

    [​IMG]
    Первоисточник.
    Пасс:111
     

    Вложения:

    • Мне нравится Мне нравится x 3
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А ты пробовал, детект на запуск слетает-нет ?

    Многие дрочат на этот запуск в памяти !смех-смех!!!
     
    • Мне нравится Мне нравится x 1
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.175
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Не пробовал.Даже не запускал эту хрень.
    Есть интересный способ обхода АВ,правда долгий и нудный.К тому же неизвестно что получится,хотя на словах Конг описал красиво).
    Олег,а чего ты убрал анонимный переход.Тут смотрю РОСТ изредка появляется,как раз в тех темах,где есть ссылки на него.А вдруг чего-нибудь нелицеприятное напишем:)?
     
    • Мне нравится Мне нравится x 3
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну во первых здесь независимый ресурс и лично я не кого небоюсь, по крайне-мере с факкав точно...

    А во вторых так здесь вроде ничего такого про них не писалось, даже я думаю на пользу идёт, ибо какой-то пипл к ним переходит от сюда !

    Тем не менее, если какой-то контент здесь что-то нарушает или оскорбляет, я не отмароженный со мной всегда можно договорится, если аргументируют конечно...
     
    • Мне нравится Мне нравится x 3
  6. denis7656 The Dark Side
    denis7656
    Ответить в чате

    Форумчанин

    Регистрация:
    25.06.2014
    Сообщения:
    80
    Симпатии:
    196
    Пол:
    Мужской
    Репа:
    +198 / 0 / -1
    код из
    https://ru-sphere.ru/threads/delaem-kriptor-vmeste.1928/page-7#post-115122
    под Delphi переписал


    function IsAVengine:Boolean;
    var
    pos1,pos2: TPoint;
    begin
    GetCursorPos(pos1); // Получаем текущие координаты в pos1
    setcursorpos(pos1.X+1,pos1.Y+1); // Увеличиваем координаты X и Y в pos1 на единицу
    GetCursorPos(pos2); // Получаем текущие координаты в pos2
    if ((pos2.X=pos1.X+1) and (pos2.Y=pos1.Y+1)) // сравниваем pos1 и pos2
    then result:=False // Мы не под виртуалкой
    else result:=True; // Мы под виртуалкой
    setcursorpos(pos1.X+1,pos1.Y+1); // возврат указателя крысяки (можно и не делать, все равно пользователю не заметно)
    end;

    Юзать так
    if IsAVengine then
    ShowMessage('FuckHerSelf !!!')

    else ShowMessage('All ok !!!')

     
    • Мне нравится Мне нравится x 3
  7. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Не хранить в памяти код, а динамически раскодировать поток инструкций из шифрованного буфера по одной.
    Во втором варианте удалять сигнатуры путём морфинга. Но это сложный метод не для крипторов.
     
    • Мне нравится Мне нравится x 1
  8. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    можно и не по одной, а частями, в принципе. закладывать это надо в архитектуру проекта желательно на этапе проектирования - чтоб кодить с оглядкой на это, хотя можно и потом точить
     
    • Мне нравится Мне нравится x 1
  9. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Существуют надстройки, позволяющие выполнять пошагово произвольный код. Но к этому коду есть требование - он должен быть в микод формате, тоесть не содержать никаких статических данных. Есно это не реализуемо на скриптах.
     
    • Мне нравится Мне нравится x 1
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.175
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Снимок.PNG
    Небольшой pdf-документ об обходе ав-защиты.Возможно будет интересен профессионалам,ибо без спец. знаний его нечего даже листать)
    Можно посмотреть в веб-версии или скачать во вложении.
     

    Вложения:

    • Мне нравится Мне нравится x 2

Поделиться этой страницей