Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   HEUR/Crypted (https://forum.antichat.xyz/showthread.php?t=48636)

zl0y 09.09.2007 12:59
HEUR/Crypted
 
Вот пишу крипт возникла проблема,подскажите что делать с ав которые HEUR/Crypted :confused:
Вроде все норм:шифрую add,sub+вставляю антиэмуль,разбавляю мусором а не все равно :mad:

PHP код:
Antivirus;Version;Last Update;Result
AhnLab-V3;2007.9.8.0;2007.09.07;-
AntiVir;7.6.0.5;2007.09.08;HEUR/Crypted
Authentium;4.93.8;2007.09.07;-
Avast;4.7.1043.0;2007.09.08;-
AVG;7.5.0.485;2007.09.08;-
BitDefender;7.2;2007.09.09;-
CAT-QuickHeal;9.00;2007.09.08;(Suspicious) - DNAScan
ClamAV;0.91.2;2007.09.09;-
DrWeb;4.33;2007.09.08;-
eSafe;7.0.15.0;2007.09.04;-
eTrust-Vet;31.1.5119;2007.09.08;-
Ewido;4.0;2007.09.08;-
FileAdvisor;1;2007.09.09;-
Fortinet;3.11.0.0;2007.09.08;-
F-Prot;4.3.2.48;2007.09.07;-
F-Secure;6.70.13030.0;2007.09.08;-
Ikarus;T3.1.1.12;2007.09.09;Trojan.Peed
Kaspersky;4.0.2.24;2007.09.09;-
McAfee;5115;2007.09.07;-
Microsoft;1.2803;2007.09.09;-
NOD32v2;2515;2007.09.09;-
Norman;5.80.02;2007.09.07;-
Panda;9.0.0.4;2007.09.09;Suspicious file
Prevx1;V2;2007.09.09;-
Rising;19.39.62.00;2007.09.09;-
Sophos;4.21.0;2007.09.09;Mal/Basine-C
Sunbelt;2.2.907.0;2007.09.07;VIPRE.Suspicious
Symantec;10;2007.09.09;-
TheHacker;6.1.10.182;2007.09.08;-
VBA32;3.12.2.4;2007.09.08;-
VirusBuster;4.3.26:9;2007.09.08;-
Webwasher-Gateway;6.0.1;2007.09.08;Heuristic.Crypted 

ProTeuS 09.09.2007 13:04
1. поо4ередно пробовать "подбирать" конкретный метод крипта под каждый аверь, который выдает аларм по эвристике
2. реверсить ядра каждого аверя и смотреть на каком проходе выдается аларм =\

KEZ 09.09.2007 13:30
Цитата:
Вроде все норм:шифрую add,sub+вставляю антиэмуль,разбавляю мусором а не все равно
охуенно ты "норм" шифруешь, add,sub и т.п. гыг
"норм" - это, например сделать какой-нибудь обработчик исключений, расшифровывающий тек. инструкию и превращающий ее в соотв. набор инструкций, + рендомные джампы в обработчике и самом коде и все это закриптовано рендомным ключем, который получается в результате выполнения каких-то "неэмулироваемых" действий. я типа тоже понтанулся как протеус в пункте 2 (реверсить ядро антивируса) гыг

Hellsp@wn 09.09.2007 13:37
я реверсил AntiVir, хех он выносит подозрение HEUR/Crypted основываясь на анализе
имён секций, их характеристик, директории импорта,
расположении ер и что-то ещё)) не помню уже...

как вариант можно закосить под какой-нибудь пакер/прот =) известный этому ав...

GlOFF 09.09.2007 14:12
Писал я как-то модуль Криптовки и если использовать команды компилятора:
Цитата:
/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text /SECTION:.text,EWR /IGNORE:4078
то анитивири вели себя подобным образом "Suspicious file", отсюда можно сказать, что антивири палят по правам на секции и коду который что-то делает с этой секцией (характеристики)! В частности догоняют что тут что-то криптовано "HEUR/Crypted"! И вообще есть даже сигны троянов "Trojan.Peed","Mal/Basine-C" ...

Выводы:
Цитата:
1. поо4ередно пробовать "подбирать" конкретный метод крипта под каждый аверь, который выдает аларм по эвристике
2. Плохой антиемуль!
3. Попробывать другие методы шифровки! (Можно ror \ rol попробывать)
4. Пробывать, пробывать, пробывать :)

Piflit 09.09.2007 14:27
messagebox , скомпиленный с этими параметрами
Цитата:
#pragma comment(linker,"/entry:WinMain")
#pragma comment(linker,"/nodefaultlib")
#pragma comment(linker, "/MERGE:.rdata=.text")
#pragma comment(linker, "/MERGE:.data=.text")
#pragma comment(linker, "/SECTION:.text,EWRX")
#pragma comment(linker, "/opt:nowin98")
на вирустотале:
Цитата:
CAT-QuickHeal 9.00 2007.09.08 (Suspicious) - DNAScan
Panda 9.0.0.4 2007.09.09 Suspicious file

GlOFF 10.09.2007 00:27
zl0y Вот интересно немного пишут про "Heuristic Scanning"
http://www.securityfocus.com/infocus/1542
http://www.mcafee.com/common/media/vil/pdf/imuttik_VB_%20conf_2000.pdf

// С условием знания engl ;)

KEZ 10.09.2007 06:13
> /SECTION:.text,EWR

Поставь секции нужныы доступ через VirtualProtectEx
А импорт вообще можно не оставлять - стройте его динамически вручную
Короче почитал я все это и понял что далеко вам ещё до написания пакеров/криптеров

GlOFF 10.09.2007 12:20
kez Ну а может быть в написании чего-то стоящего и более серьезного и происходит наиболее продуктивный процесс саморазвития ;)

Ni0x 10.09.2007 16:02
Цитата:
Поставь секции нужныы доступ через VirtualProtectEx
А импорт вообще можно не оставлять - стройте его динамически вручную
Короче почитал я все это и понял что далеко вам ещё до написания пакеров/криптеров
Кстати, с помощию VirtualProtect легко обходится нашумевшая защита от исполняемого кода в стеке, названная DEP.
Насчет импорта - это совершенно верно, хотя для большинства это так и останется словами. Например большое количество "троянов" я отсеиваю обычным открытием файла в блокноте и просмотре таблицы импорта.
Насчет крипторов, к сожалению это тенденция к написанию поли-крипторов всеми, кто еще и ассемблер не освоил нормально не может не огорчать.


Время: 19:32
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице