может получится обойти антивирь %) а может и нет :-P

Тема в разделе "WASM.WIN32", создана пользователем Necromancer13, 8 июн 2008.

  1. Colibri

    Colibri New Member

    Публикаций:
    0
    Регистрация:
    8 май 2008
    Сообщения:
    117
    nester7
    В теории:
    1. Либо бить по времени эмуляции
    2. Либо делать упор на неэмулируемые элементы

    На практике:
    1. Ресурсоемкий алгоритм шифровки. (AES, RC4 например)
    2. Те же апи заюзать. К примеру из ntdll


    PS: поиск по сайту рулит
     
  2. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    К стате Авира например анализирует таблицу импорта а не сёрфит файл в поисках вызовов апи. тоесть достаточно сделать LoadLibrary, GetProcAdress и авара заткнётся =)

    воабще была тема схожая
    http://wasm.ru/forum/viewtopic.php?id=27035
     
  3. Colibri

    Colibri New Member

    Публикаций:
    0
    Регистрация:
    8 май 2008
    Сообщения:
    117
    2FED
    Да, Анализирует
    Но вскрытие показало, что анализ не полный, а только kernel32.dll импорта
    Авире не нравится только битый импорт кернела
    Без кернела все тихо
     
  4. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    Colibri Ну не скажи, у меня пенилась на присутствие UrlDownloadToFile, и эта функция определана в urlmon.dll
     
  5. Colibri

    Colibri New Member

    Публикаций:
    0
    Регистрация:
    8 май 2008
    Сообщения:
    117
    2FED
    это само собой
    Сетевые функции, а так же VirtualProtect, CreateProcess, WinExec, CreateRemoteThread, и еще несколько увеличивают счетчик в эвристике
     
  6. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    Самую главную забыл, WriteProcessMemory =)