ВирусБлокАда что за зверь и где работает Инде ?

Тема в разделе "WASM.HEAP", создана пользователем X-Shar, 14 авг 2020.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Ты просто глючишь.

     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну вот как раз тут все правильно, или хочешь сказать, что у тебя нет такой татушки на ягодице?
     
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Это у яшечки спроси, я не имею никаких мастей цепей и ничего лишнего на своём теле. Есть всякие люди, маглы с топорным мышлением и для выделения себя наряжаются как ёлки, даже какие то рисунки на теле выбивают. Это делают что бы обратить на себя внимание, мне же внимание не нужно это угроза. Спец должен быть не заметен во всём. Если бы я как эти идиоты надел какие то цепи на руки меня бы давно бы намотало на шпинделя станков убило током или бы придушили в конфликте.
     
    Последнее редактирование: 14 авг 2020
    Bedolaga нравится это.
  4. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    То есть Яшечка в курсе, что там у тебя на ягодицах набито? Ну окей, не то чтобы меня это особо интересовало, но спросить можно.

    Так а какие там у тебя в Вирус Блокаде станки? Да и конфликты какие тоже?
     
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > То есть Яшечка в курсе, что там у тебя на ягодицах набито?

    Учитывая что ты топорный троль, такой вывод ничем не удивителен. И в чём логика тут, как такой отморозок мог как то преподавать это был фейк однозначно.

    > Так а какие там у тебя в Вирус Блокаде станки?

    Слабоумный троль обычно россия ничего нового ты тут давно как говно мамонта и ничего нового.
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну я тоже самое могу сказать про твое утверждение, что ты работаешь электриком за 400 баксов в месяц, так что мы в каком то смысле квиты.

    Не, ну почему же? Про то, что ты авер, я довольно недавно узнал. Про десятки тысяч семплов тоже недавно было. Эта тема еще долго не устареет.
    --- Сообщение объединено, 15 авг 2020 ---
    Не совсем понял, при чем тут "россия"?
     
  7. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Да но какой процент стиллеров так будут делать ?)
    Я скажу, чуть меньше 0%.)))

    А кто-нить видел криптор, который-бы обходил детект нода в памяти, не морфил-бы самого зверька, а именно как говорит Инде, через супер-мега анклавы, я не встречал ?

    Это не стеб, есть такое вообще ?
     
  8. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    Я делал такое через пейдж но акцесс и перехват и обработку ексепшена, но работает софтина после модификации раз в 20 медленнее а то и больше
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    sl0n,

    Если сделать область N/A, тогда при каждой выборке нужно копировать инструкцию в буфер, туда дописать ветвление. Это конечно всё большие тормоза. Был даже у меня какой то двигатель dype" вроде он работал на подобных принципах(подмена выборки через ловушки), я и сам не помню можно поискать.

    X-Shar,

    > Да но какой процент стиллеров так будут делать ?)

    Никакой, вопрос в другом тогда. Какой процент этих поделок написан не школьниками - 0% ?

    Это сложные техники и школота/кнопкодавы просто технически не способны подобное реализовать.
     
    M0rg0t нравится это.
  10. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Да, если говорить про качество этих поделок, то там треш вообще...)))

    Другое дело почему эти поделки работают, т.е. они продаются, те-кто покупает решают в целом свои задачи, иначе смысл-бы их покупать.

    За примерами ходить не надо, те-же конкурсы, которые регулярно устраивают криптолокерщики, а это 15-20 к. баксов отдать, для многих нужно например год работать, что-бы заработать даже это, а для них это наверное копейки, раз так спокойно с ними расстаются.)

    Просто хочу сказать, не уверен, что криптолокер это супер-пупер какая-то разработка в малварном мире, тем не менее заработок у них космический.

    А почему так ?

    Лично у меня два вопроса:

    1. К антивирусным компаниям, как-бы можно и лучше защищать, не ?

    2. К организациям и отделам ИБ, в общем-то вопрос такой-же как и к антивирусным компаниям.
     
  11. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Если такое и есть, то для каких-то своих ПП, ну уж никак не для паблика. Работать с потоком людей - это всегда треш и бред, вот сделал ты супер-криптор, а тебе пишет условный Х , который купил "амадей / триумф" и оно не пашет после крипта или палится или еще что, и это разбирать (реверсить говноподелку, че там ей надо) за 20-25 баксов смысла нет. А вот под крупную ПП - почему нет. Посмотри на той же дамаге старые темы (10-14 годы), там много было идей, и свой Си-компилятор, который уже генерит морф-код, и стековые вм, да много чего, но запилить такое и продавать по 20 баксов за крипт для очередного азора - смысла нет.

    Indy_, мне сложно участвовать тут в дискуссии, т.к. не до конца понимаю, как авер читает память процессов из ядра, как их вообще сканирует (тот же говНод проверяет все), все процессы или лишь -X- память. В теории, поставить хук на виртуаллок/виртуалпротект, и если там исполнение - сканировать, как это обойти?
     
    X-Shar нравится это.
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    > как это обойти?

    Тот пример выше по крипте задал человек не понимающий суть крипта. Криптор по сути загрузчик, он упаковывает образ, удаляя статик сигнатуры. Криптор не полноценный морфер это всё школьные поделки и авер это легко ловит на основе десятка семплов(создаётся сигнатура).

    Когда крипт отработает, образ оказывается в памяти полностью открыт, загружен. Тогда сканер памяти запалит, те крипт к динамике никакого отношения не имеет. Удивитесь что вмп является тоже криптором - покрывает лишь малую часть кода апп, тк не может определить указатели на процедуры, отличить код от данных.

    Простой пример - вызов MessageBox(). Технически строка не преобразуется в юникод, выборка просходит прямо из ядра по юзер указателю. Это значит что нельзя его контролировать, ядерную выборку - нельзя для юзер апп использующего данный вызов создать невидимую область памяти. Поэтому нет общего решения и крипта в таком виде невозможна.

    Может быть локальное решение - убрать из семпла подобные вызовы что бы небыло прямых ядерных ссылок. Тогда можно скрыть образ - создать с-анклав, для этого нужен тот самый визор что бы изменять юзер выборку к не существующей области. Но даже если всё апп будет скрыто в памяти, сама надстройка, транслятор будет виден. Поэтому должен применяться к нему всё тот же морф, иначе сканер запалит по телу транслятора.
    --- Сообщение объединено, 16 авг 2020 ---
    > не до конца понимаю, как авер читает память процессов из ядра

    А что там понимать, обёртывает выборку в SEH что бы не отвалиться и читает память напрямую.
    --- Сообщение объединено, 16 авг 2020 ---
    M0rg0t,

    Я нашёл свою тему с семплом https://wasm.in/threads/skrytie-modulja.31872/

    Я искал задачу по данным, code vs data, это наверно было на кл хз.
     
    Последнее редактирование: 16 авг 2020
    Pavia и q2e74 нравится это.
  13. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    У Blizzard и Riot упаковщики для игр работают похожим образом. Релокация образа, NA/SEC_NO_CHANGE секции и распаковка по требованию.
     
  14. cryptx86

    cryptx86 New Member

    Публикаций:
    0
    Регистрация:
    15 окт 2019
    Сообщения:
    5
    Обнаружили случайно как раз из очень малой популярности VBA. Stuxnet тупо не тестировали на машинах с VBA, в итоге эти машины бсодили:)

    https://eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight/
     
    M0rg0t нравится это.
  15. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Да весьма сомнительное достижение. Но зато у них теперь есть визор, на котором гоняется десятки тысяч семплов, все крипторы вскрываются и тд. Наверняка их ждет серьезный успех.
     
  16. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    )) недооценили разрабы беларусов, из-за чего и спалились.
    кстати, в Юа тоже есть какой-то авер, зилля, там вообще по ходу (по слухам) треш.
     
  17. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    hiddy,

    > SEC_NO_CHANGE

    Это моя очень старая техника. Есчо до ваших аверов было реализовно.
     
    hiddy нравится это.