Вопрос о эмуляторе АВ

Тема в разделе "WASM.BEGINNERS", создана пользователем NEXo, 26 дек 2008.

  1. NEXo

    NEXo New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2007
    Сообщения:
    10
    Каким образом можно задетектить тот момент когда АВ,допустим каспер проверяет файл? Т.е допустим я в программе свое ставлю определеный код,этот код проверяет под чем запущен файл. Если файл находится под эмулем АВ то программа выходит,если файл запущен пользователем то она продолжает выполнение.
    Очень нужно!!!
     
  2. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
  3. NEXo

    NEXo New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2007
    Сообщения:
    10
    MSoft, т.е решения нет? без стеба
     
  4. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    есть конечно, но бесплатно его никто не скажет
     
  5. NEXo

    NEXo New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2007
    Сообщения:
    10
    MSoft, примерная цена вопроса какова?
     
  6. Rodin

    Rodin New Member

    Публикаций:
    0
    Регистрация:
    30 апр 2007
    Сообщения:
    125
    Есть сложности
    1) Практически невозможно написать универсальную (в смысле работающую для большинства AV) антиэмуляцию
    2) Высока вероятность, того что тебя тут же будут детектировать по применяемой антиэмуляции.

    В итоге чтобы быть актуальным, придется очень часто платить "цену вопроса".
     
  7. SmanxX1

    SmanxX1 Member

    Публикаций:
    0
    Регистрация:
    18 июн 2008
    Сообщения:
    139
    NEXo
    Самый простейший способ -- это проверять флаг трассировки, если он взведен, то выходим из программы, нет -- работаем дальше. Но все не так просто, т.к. большинство АВ это палят, нужно по-разному извращаться и "скрывать" эту проверку.
     
  8. seeQ

    seeQ New Member

    Публикаций:
    0
    Регистрация:
    3 сен 2003
    Сообщения:
    71
    Это к эмуляции в АВ никакого отношения не имеет.
     
  9. AndreyMust19

    AndreyMust19 New Member

    Публикаций:
    0
    Регистрация:
    20 окт 2008
    Сообщения:
    714
    Да просто напиши какую-нибудь редкую инструкцию, которую эмуль антивируса не знает - и все. И выходить из программы не надо!
     
  10. NEXo

    NEXo New Member

    Публикаций:
    0
    Регистрация:
    2 сен 2007
    Сообщения:
    10
    Например?
     
  11. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    ага, тоже хотелось бы послушать (сразу видно, что человек не в теме)

    не забывай, что для одного - это антиэмуль, а для другого - сигнатура
     
  12. Andie

    Andie New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2008
    Сообщения:
    51
    Многое зависит от антивируса, у каждого свои слабости. Что "глотает" один, с другим может не проходить. Почитай - http://uinc.ru/articles/48/ , может быть что-то из этих способов еще работает, например DIV и вызов API's (хотя тот же туарег, вроде бы эмулится, а он генерит в расшифровщиках вызовы пары десятков API). Касперский, может быть еще обламывается с delta value (см. статью). Когда я писал эту статью (четыре года назад), трюку с div, о котором кричал на весь мир Z0MBiE (тем более, что его читали все, кто был "в теме" и ТЕМ БОЛЕЕ антивирусники), было 4 года и он все равно "работал", я, право был очень удивлен! Так что есть шанс, и что-нибудь из приведенных примеров до сих пор актуально. (там, кстати, есть архив с PEшниками, просто распакуй его и проверь антивирусами, если что-либо из файлов не детектируется, значит трюк еще актуален) Очень давно уже не в теме и ничего 100% актуального посоветовать не могу. Ну и могу, сказать, что поиск подобного рода уязвимостей, которые не могут быть закрыты "в течении пяти минут", не так уж и просто. Участки кода из которых можно выдернуть даже плавающее подобее сигнатуры, например без учета регистров) могут быть легкой наживой для кодо-анализатора, который позволит эмулю просто "пропустить" этот код. Помню, что когда я писал статью для UINC'а, процесс поиска обманок занял не один день, учитывая, что мне чем могли, помогали ребята из UINC'а (кроме доктора Головы). Так что все не так просто как кажется.