ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Программирование > Реверсинг
Перезагрузить страницу HEUR/Crypted
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

HEUR/Crypted
  #1  
Старый 09.09.2007, 12:59
zl0y
Banned
Регистрация: 13.09.2006
Сообщений: 523
Провел на форуме:
2869410

Репутация: 925


Отправить сообщение для zl0y с помощью ICQ
Unhappy HEUR/Crypted
Вот пишу крипт возникла проблема,подскажите что делать с ав которые HEUR/Crypted
Вроде все норм:шифрую add,sub+вставляю антиэмуль,разбавляю мусором а не все равно

PHP код:
Antivirus;Version;Last Update;Result
AhnLab-V3;2007.9.8.0;2007.09.07;-
AntiVir;7.6.0.5;2007.09.08;HEUR/Crypted
Authentium;4.93.8;2007.09.07;-
Avast;4.7.1043.0;2007.09.08;-
AVG;7.5.0.485;2007.09.08;-
BitDefender;7.2;2007.09.09;-
CAT-QuickHeal;9.00;2007.09.08;(Suspicious) - DNAScan
ClamAV;0.91.2;2007.09.09;-
DrWeb;4.33;2007.09.08;-
eSafe;7.0.15.0;2007.09.04;-
eTrust-Vet;31.1.5119;2007.09.08;-
Ewido;4.0;2007.09.08;-
FileAdvisor;1;2007.09.09;-
Fortinet;3.11.0.0;2007.09.08;-
F-Prot;4.3.2.48;2007.09.07;-
F-Secure;6.70.13030.0;2007.09.08;-
Ikarus;T3.1.1.12;2007.09.09;Trojan.Peed
Kaspersky;4.0.2.24;2007.09.09;-
McAfee;5115;2007.09.07;-
Microsoft;1.2803;2007.09.09;-
NOD32v2;2515;2007.09.09;-
Norman;5.80.02;2007.09.07;-
Panda;9.0.0.4;2007.09.09;Suspicious file
Prevx1;V2;2007.09.09;-
Rising;19.39.62.00;2007.09.09;-
Sophos;4.21.0;2007.09.09;Mal/Basine-C
Sunbelt;2.2.907.0;2007.09.07;VIPRE.Suspicious
Symantec;10;2007.09.09;-
TheHacker;6.1.10.182;2007.09.08;-
VBA32;3.12.2.4;2007.09.08;-
VirusBuster;4.3.26:9;2007.09.08;-
Webwasher-Gateway;6.0.1;2007.09.08;Heuristic.Crypted 
 
Ответить с цитированием

  #2  
Старый 09.09.2007, 13:04
ProTeuS
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592

Репутация: 2175


Отправить сообщение для ProTeuS с помощью ICQ
По умолчанию
1. поо4ередно пробовать "подбирать" конкретный метод крипта под каждый аверь, который выдает аларм по эвристике
2. реверсить ядра каждого аверя и смотреть на каком проходе выдается аларм =\
 
Ответить с цитированием

  #3  
Старый 09.09.2007, 13:30
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
Цитата:
Вроде все норм:шифрую add,sub+вставляю антиэмуль,разбавляю мусором а не все равно
охуенно ты "норм" шифруешь, add,sub и т.п. гыг
"норм" - это, например сделать какой-нибудь обработчик исключений, расшифровывающий тек. инструкию и превращающий ее в соотв. набор инструкций, + рендомные джампы в обработчике и самом коде и все это закриптовано рендомным ключем, который получается в результате выполнения каких-то "неэмулироваемых" действий. я типа тоже понтанулся как протеус в пункте 2 (реверсить ядро антивируса) гыг
 
Ответить с цитированием

  #4  
Старый 09.09.2007, 13:37
Hellsp@wn
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445

Репутация: 588
По умолчанию
я реверсил AntiVir, хех он выносит подозрение HEUR/Crypted основываясь на анализе
имён секций, их характеристик, директории импорта,
расположении ер и что-то ещё)) не помню уже...

как вариант можно закосить под какой-нибудь пакер/прот =) известный этому ав...
 
Ответить с цитированием

  #5  
Старый 09.09.2007, 14:12
GlOFF
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671

Репутация: 1338


По умолчанию
Писал я как-то модуль Криптовки и если использовать команды компилятора:
Цитата:
/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text /SECTION:.text,EWR /IGNORE:4078
то анитивири вели себя подобным образом "Suspicious file", отсюда можно сказать, что антивири палят по правам на секции и коду который что-то делает с этой секцией (характеристики)! В частности догоняют что тут что-то криптовано "HEUR/Crypted"! И вообще есть даже сигны троянов "Trojan.Peed","Mal/Basine-C" ...

Выводы:
Цитата:
1. поо4ередно пробовать "подбирать" конкретный метод крипта под каждый аверь, который выдает аларм по эвристике
2. Плохой антиемуль!
3. Попробывать другие методы шифровки! (Можно ror \ rol попробывать)
4. Пробывать, пробывать, пробывать
Последний раз редактировалось GlOFF; 09.09.2007 в 14:16..
 
Ответить с цитированием

  #6  
Старый 09.09.2007, 14:27
Piflit
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756

Репутация: 2032


Отправить сообщение для Piflit с помощью ICQ
По умолчанию
messagebox , скомпиленный с этими параметрами
Цитата:
#pragma comment(linker,"/entry:WinMain")
#pragma comment(linker,"/nodefaultlib")
#pragma comment(linker, "/MERGE:.rdata=.text")
#pragma comment(linker, "/MERGE:.data=.text")
#pragma comment(linker, "/SECTION:.text,EWRX")
#pragma comment(linker, "/opt:nowin98")
на вирустотале:
Цитата:
CAT-QuickHeal 9.00 2007.09.08 (Suspicious) - DNAScan
Panda 9.0.0.4 2007.09.09 Suspicious file
 
Ответить с цитированием

  #7  
Старый 10.09.2007, 00:27
GlOFF
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671

Репутация: 1338


По умолчанию
zl0y Вот интересно немного пишут про "Heuristic Scanning"
http://www.securityfocus.com/infocus/1542
http://www.mcafee.com/common/media/vil/pdf/imuttik_VB_%20conf_2000.pdf

// С условием знания engl
 
Ответить с цитированием

  #8  
Старый 10.09.2007, 06:13
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
> /SECTION:.text,EWR

Поставь секции нужныы доступ через VirtualProtectEx
А импорт вообще можно не оставлять - стройте его динамически вручную
Короче почитал я все это и понял что далеко вам ещё до написания пакеров/криптеров
 
Ответить с цитированием

  #9  
Старый 10.09.2007, 12:20
GlOFF
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671

Репутация: 1338


По умолчанию
kez Ну а может быть в написании чего-то стоящего и более серьезного и происходит наиболее продуктивный процесс саморазвития
 
Ответить с цитированием

  #10  
Старый 10.09.2007, 16:02
Ni0x
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677

Репутация: 472
По умолчанию
Цитата:
Поставь секции нужныы доступ через VirtualProtectEx
А импорт вообще можно не оставлять - стройте его динамически вручную
Короче почитал я все это и понял что далеко вам ещё до написания пакеров/криптеров
Кстати, с помощию VirtualProtect легко обходится нашумевшая защита от исполняемого кода в стеке, названная DEP.
Насчет импорта - это совершенно верно, хотя для большинства это так и останется словами. Например большое количество "троянов" я отсеиваю обычным открытием файла в блокноте и просмотре таблицы импорта.
Насчет крипторов, к сожалению это тенденция к написанию поли-крипторов всеми, кто еще и ассемблер не освоил нормально не может не огорчать.
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ