ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Авирь не может динамически палить все загруженные модули, темболее если расшифрованый код будет выполнятся в течении долий секунды(создаст свой тред в памяти доверенного процесса, и сообщит о отсутствии надобности этой библиотеки), просто нужно обеспечить невыделяемость самого файла, из общего числа файлов. Я понимаю что в идеале это невозможно, но если добится чтоб время проверки каждого файла, занимало больше 500мс, то его не будут включать в базу антивируса, по явным причинам.

Скрытие действий и криптовка готовых вирей это уже совсем другая тема. Кстате кто криптует вири в sfx? Вопервых антивири проверяют внутри архивов, а во вторых, после того как sfx распакует его в temp антивирь сразу захочит его проверить.

Протеус имел ввиду статическую проверку, внутрь архива с паролем АВ не залезет.

Авири перехватывают ZwCreateThread.

Если хочешь скрыть программу от мониторов, то юзай метаморфизм + ВМ и ниодин эмуль никогда не сможет проэмулировать твой код.

Только какие нибудь продвинутые авири перехватывают создание тредов, но смысла я в этом не вижу, некоторые программы создают треды десятками, может только если они будут проверять какой тред пытается создать новый тред, но ведь это легко обойти, напримерперехватя какую небудь системную функциию и создать тред от имени треда, её вызвавшего, и вообще, неизвестно кто первее перехватит функцию ZwCreateThread.

Интересно ты разделил АВ на продвинутые и нет... Когда у АВ работает монитор, то он впервую очередь должен перехватывать ZwCreateThread, ибо как бы ни был создан процесс загрузчик обязательно вызывает ZwCreateThread(минимум для создания основной нити(потока) процесса).

Не совсем понял. Что это даёт?

АВ само собой всё перехватывают на уровне ядра, поэтому если решил пойти этому пути, то в 3 кольце считай ты бессилен.

Антивири не особо обращают внимание на самомодификацию. Это привелегия эвристики. Она пасёт помимо самомодификации к каким апи обращается код. А ав по большей части ждут, когда вирь засветит свои сигнатуры. Потоки пох, если ав не найдёт сигнатур. Максимум будет сообщение эвристики, что вроде как вирус нашёлся. Не забываем про такую вещь, как метаморфизм. Кто сумеет сбацать надёжный качественный метаморф-движок репу можно прокачать значительно

>>и хочешь скрыть программу от мониторов, то юзай >>метаморфизм + ВМ и ниодин эмуль
>>никогда не сможет проэмулировать твой код.
у наших "продвинутых" росийских аверях на это один только метод - вбивать соответствующую ВМ в блэк и все функции, выполняемый на ней туда же =(

>>Кто сумеет сбацать надёжный качественный метаморф-движок репу можно >>прокачать значительн
о4 сомневаюсь, эт привилегия едениц - у мну, например, дальше метаморфа декриптора дело не дошло =(

Так что они туда пихать будут если она заморфлена будет?

А чем отличается код декриптора от любого другого кода программы? Ты наверное про полиморф говоришь. А застрял скорее всего на пересчёте переходов и call'ов?)

>>Так что они туда пихать будут если она заморфлена будет?
сигатуру ВМ, как было с VmProtect и каспером (на 4то я намикал)

>>А чем отличается код декриптора от любого другого кода программы?
нет, метаморф. а на примере декриптора я говорил о коде, слабо "общающимя" с другими 4астями софта, вообщем 4асти4ный слу4ай, так сказать...

Так у VMProtect'ора ВМ не заморфлена вроде.

Метаморфу пофиг какой код, метфморф отличается от полиморфа как раз тем, что обрабатывает всё тело программы(в твоём случае считай декриптора).