HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Безопасность и Анонимность > Защита ОС: вирусы, антивирусы, файрволы.
Перезагрузить страницу Вопрос про анти-эмуляцию на ассемблере
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 29.01.2026, 01:14
Gemfory
Новичок
Регистрация: 03.01.2026
Сообщений: 0
С нами: 192549

Репутация: 0
По умолчанию
C-подобный:


Код:
mov rcx
,
[
hKernel32
]
lea rdx
,
[
sGetSystemInfo
]
call
[
_GetProcAddress
]
lea rcx
,
[
sys_info
]
call rax
  
    mov eax
,
dword
[
sys_info
+
32
]
cmp eax
,
2
jl
.
ne_found
Вообщем, сделал реализацию анти-эмуляции дефендера, просто проверяю как он реагирует. Если ядер меньше двух - процесс отключается.
Чисто в теории, это может спасти от эмуляции на 11 винде?
Если нет, просьба рассказать про какие-то другие методы, мейби намного интереснее, хотелось бы для себя что-то новое узнать.
У меня в планах было просто запустить цикл на пару миллионов тактов чтобы дефендер не смог дойти до OEP и эмуляция упала.

А вообще, та же EDR детектит подобную манипуляцию банально через хук на GetSystemInfo:

C:


Код:
void
WINAPI
HookGetSystemInfo
(
LPSYSTEM_INFO lpSystemInfo
)
{
pGetSystemInfoOriginal
(
lpSystemInfo
)
;
if
(
lpSystemInfo
->
dwNumberOfProcessors

dwNumberOfProcessors
=
8
;
}
}
Это так, для тех кто думает что это какая-то супер техника.
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 29.01.2026, 10:07
Ахимов
Новичок
Регистрация: 21.12.2025
Сообщений: 0
С нами: 210647

Репутация: 0
По умолчанию
Стековый анклав.
 
Ответить с цитированием

  #3  
Старый 29.01.2026, 10:21
Gemfory
Новичок
Регистрация: 03.01.2026
Сообщений: 0
С нами: 192549

Репутация: 0
По умолчанию
Цитата:

Ахимов сказал(а):

Стековый анклав.

Воспользуюсь DFI, спасибо.
 
Ответить с цитированием

  #4  
Старый 29.01.2026, 13:23
Ахимов
Новичок
Регистрация: 21.12.2025
Сообщений: 0
С нами: 210647

Репутация: 0
По умолчанию
Трассировать не получится, так как для этого должен быть валидным стек.
 
Ответить с цитированием

  #5  
Старый 30.01.2026, 01:52
Ахимов
Новичок
Регистрация: 21.12.2025
Сообщений: 0
С нами: 210647

Репутация: 0
По умолчанию
Анализ с gemini.
 
Ответить с цитированием

  #6  
Старый 30.01.2026, 20:54
Gemfory
Новичок
Регистрация: 03.01.2026
Сообщений: 0
С нами: 192549

Репутация: 0
По умолчанию
Цитата:

Ахимов сказал(а):

Анализ с gemini.
 
Ответить с цитированием

  #7  
Старый 30.01.2026, 22:12
Ахимов
Новичок
Регистрация: 21.12.2025
Сообщений: 0
С нами: 210647

Репутация: 0
По умолчанию
Gemfory

Авер еще лет 10 назад такие циклы обходил, тупо по флоу ветвям.

Расчнт на метод - собрал и забыл про обходы, поэтому это сложные техники.
 
Ответить с цитированием

  #8  
Старый 30.01.2026, 22:13
Gemfory
Новичок
Регистрация: 03.01.2026
Сообщений: 0
С нами: 192549

Репутация: 0
По умолчанию
Цитата:

Ахимов сказал(а):

Gemfory

Авер еще лет 10 назад такие циклы обходил, тупо по флоу ветвям.

Под авером ты подразумеваешь антивирус?
Если да, мейби да, но Касперский почему-то не обходит
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.