ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
антитрассировочная фича - как это работает ? |
19.01.2009, 23:05
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
антитрассировочная фича - как это работает ?
копался у себя в исходниках и в одном из "хороших" вирусов в тебе обнаружил такой кусок кода:
может даже кому-то пригадится:
Код:
setupSEH:
; Небольшая антиотладочная, а точнее - антитрассировочная фича.
; Реально "помогает" от эвристики NOD32...
cdq
assume fs:nothing
push dword ptr fs:[edx]
mov fs:[edx], esp
pushfd
pop eax
bts eax, 8
push eax
popfd
jmp $
можете пошагово мне рассказать в чем заключается этот хитрый момент, что до сих пор NOD32 (про других даже не стоит говорить) не видет ничего подозрительного, хотя вирус по сути - очень даже опасный.. сказал бы критичный опасный..
P.S. публикавать не буду, кто хочет - мне в личку - исходники дам.
школьникам и поинерам просьба не писать |
|
|
20.01.2009, 01:26
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
не понимаю при4ем тут эвристика. антитрассирово4ные триксы юзают 4тобы вырубить эмуль в АВ, и нод должен все проэмулить имхо, завтра проверю если будет время
|
|
|
|
20.01.2009, 02:35
|
|
Познающий
Регистрация: 28.09.2007
Сообщений: 56
Провел на форуме:
4328058
Репутация:
86
|
|
тут все просто, TP флаг возводится
|
|
|
|
20.01.2009, 12:42
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
ProTeuS
Это автор вируса комментарии делал  так что я вообше незнаю что там к чему ))))
GALIAFF
А все подробно не вариат написать? я плохо знаю ассемблер, но очень хотел этот момет хорошо понимать и как вообше делается обход NOD32.
из описание вируса:
Заражает PE-файлы путем добавления в них новой секции и замены первых исполняемых байт программы на переход к своему "телу". После получения управления вирус расшифровывается, перехватывает некоторые функции для работы с файлами и перед возвратом управления оригинальной функции пытается заразить целевые файлы. Также перехватывает функцию MessageBox и подменяет выводимый заголовок сообщения на свой.
|
|
|
|
20.01.2009, 13:12
|
|
Участник форума
Регистрация: 11.07.2007
Сообщений: 190
Провел на форуме:
254313
Репутация:
185
|
|
На Wasm.ru усе подробно описано! И перехват
функций и так далее!Зайди и поинтересуйся! |
|
|
|
20.01.2009, 13:25
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
Lamia
в книге Пирогов В. Assembler тоже много чего написано.
тогда зачем вообше форум? ненадо меня никуда слать. знаешь - отвечай, нет - то проходи мимо.
|
|
|
|
20.01.2009, 13:32
|
|
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
Провел на форуме:
4226446
Репутация:
1564
|
|
Сначала мы заталкиваем в стек регистр флагов
pushfd
потом он оказывается в eax
pop eax
http://sasm.narod.ru/apps/eflags/main.htm
формат регистра EFLAGS. Взводим 8 бит
bts eax, 8
после этого после каждой инструкции будет генерироваться отладочное исключение #db. После первого исключения бит сбрасывается снова. Перед установкой флага трассировки, устанавливается SEH обработчик, и мы отправляемся в него при возникновении #DB. трюк старый же
PS
>> тут все просто, TP флаг возводится
Флаг TF называется вообще-то
PPS Нет бы заюзать трассировку ветвлений для самотрассировки; объявить свои сегменты кода, данных в GDT (для этого, ясное дело, драйвер написать), причем селектор на новый дескриптор получать динамически из драйвера, на ходу самомодифицируясь, активно прыгать между сегментами и тд. вот доразберусь в vmcb (это к теме amd-v), так напишу вам что-нибудь ядерное фо фан, если хотите. защитку, аля кракми
Последний раз редактировалось 0x0c0de; 20.01.2009 в 13:52..
|
|
|
|
20.01.2009, 14:12
|
|
Участник форума
Регистрация: 11.07.2007
Сообщений: 190
Провел на форуме:
254313
Репутация:
185
|
|
Обязательно напиши!Только для новичьков!Пускай гуру этого дела не обьясняют,что к чему!
|
|
|
|
20.01.2009, 18:16
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
0x0c0de
Спасибо, вот уже понятно, хотя без хорошего знание ассемблера всеравно трудно понятно.
вот остался только такой любопытный момент - почему антивирус не видет это как вирус?
вот отчет от вирустотала:
__http://www.virustotal.com/ru/analisis/17f485f6ddab32965cb4f9b0d75b43cb
как видно - самые известные антивирусы ничего не видят.
|
|
|
|
21.01.2009, 00:45
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
Сообщение от B1t.exe
вот остался только такой любопытный момент - почему антивирус не видет это как вирус?
вот отчет от вирустотала:
__http://www.virustotal.com/ru/analisis/17f485f6ddab32965cb4f9b0d75b43cb
как видно - самые известные антивирусы ничего не видят.
Ты уверен, что это единственный подобный приём в коде? Поскольку, вообще-то, не должны аверы так плохо на вызов обработчика исключений реагировать.
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
