ANTICHAT - Вопрос про анти-эмуляцию на ассемблере

ANTICHAT (https://forum.antichat.xyz/index.php)

- Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)

- - Вопрос про анти-эмуляцию на ассемблере (https://forum.antichat.xyz/showthread.php?t=592234)

C-подобный:

Код:

mov rcx

,

[

hKernel32

]

lea rdx

,

[

sGetSystemInfo

]

call

[

_GetProcAddress

]

lea rcx

,

[

sys_info

]

call rax

  

    mov eax

,

dword

[

sys_info

+

32

]

cmp eax

,

2

jl

.

ne_found

Вообщем, сделал реализацию анти-эмуляции дефендера, просто проверяю как он реагирует. Если ядер меньше двух - процесс отключается.
Чисто в теории, это может спасти от эмуляции на 11 винде?
Если нет, просьба рассказать про какие-то другие методы, мейби намного интереснее, хотелось бы для себя что-то новое узнать.
У меня в планах было просто запустить цикл на пару миллионов тактов чтобы дефендер не смог дойти до OEP и эмуляция упала.

А вообще, та же EDR детектит подобную манипуляцию банально через хук на GetSystemInfo:

C:

Код:

void

WINAPI

HookGetSystemInfo

(

LPSYSTEM_INFO lpSystemInfo

)

{

pGetSystemInfoOriginal

(

lpSystemInfo

)

;

if

(

lpSystemInfo

->

dwNumberOfProcessors



dwNumberOfProcessors

=

8

;

}

}

Это так, для тех кто думает что это какая-то супер техника.

Стековый анклав.

Цитата:

Ахимов сказал(а):

Стековый анклав.

Воспользуюсь DFI, спасибо.

Трассировать не получится, так как для этого должен быть валидным стек.

Анализ с gemini.

Цитата:

Ахимов сказал(а):

Анализ с gemini.

https://forum.antichat.xyz/attachmen...9792055498.png

https://forum.antichat.xyz/attachmen...9792060723.png

Gemfory

Авер еще лет 10 назад такие циклы обходил, тупо по флоу ветвям.

Расчнт на метод - собрал и забыл про обходы, поэтому это сложные техники.

Цитата:

Ахимов сказал(а):

Gemfory

Авер еще лет 10 назад такие циклы обходил, тупо по флоу ветвям.

Под авером ты подразумеваешь антивирус?
Если да, мейби да, но Касперский почему-то не обходит