HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Безопасность и Анонимность > Защита ОС: вирусы, антивирусы, файрволы.
Перезагрузить страницу Вопрос про анти-эмуляцию на ассемблере
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #1  
Старый 29.01.2026, 01:14
Gemfory
Новичок
Регистрация: 03.01.2026
Сообщений: 0
С нами: 192549

Репутация: 0
По умолчанию
C-подобный:


Код:
mov rcx
,
[
hKernel32
]
lea rdx
,
[
sGetSystemInfo
]
call
[
_GetProcAddress
]
lea rcx
,
[
sys_info
]
call rax
  
    mov eax
,
dword
[
sys_info
+
32
]
cmp eax
,
2
jl
.
ne_found
Вообщем, сделал реализацию анти-эмуляции дефендера, просто проверяю как он реагирует. Если ядер меньше двух - процесс отключается.
Чисто в теории, это может спасти от эмуляции на 11 винде?
Если нет, просьба рассказать про какие-то другие методы, мейби намного интереснее, хотелось бы для себя что-то новое узнать.
У меня в планах было просто запустить цикл на пару миллионов тактов чтобы дефендер не смог дойти до OEP и эмуляция упала.

А вообще, та же EDR детектит подобную манипуляцию банально через хук на GetSystemInfo:

C:


Код:
void
WINAPI
HookGetSystemInfo
(
LPSYSTEM_INFO lpSystemInfo
)
{
pGetSystemInfoOriginal
(
lpSystemInfo
)
;
if
(
lpSystemInfo
->
dwNumberOfProcessors

dwNumberOfProcessors
=
8
;
}
}
Это так, для тех кто думает что это какая-то супер техника.
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.