Что такое криптование вирусов и как оно работает?

Discussion in 'WASM.BEGINNERS' started by Alexander, Jan 20, 2019.

  1. Alexander

    Alexander New Member

    Blog Posts:
    0
    Joined:
    Jan 20, 2019
    Messages:
    2
    Опытные в вирусологии, не могли вы пояснить как оно устроено: Как вирус "скрывается" от АВ программ именно на словах, до кода мне еще далеко ;(.
    Вот что хотелось бы узнать, в интернете инфы 0, нашел только по шифровальщикам и "Как криптовать вирус, чтобы его не нашел АВ" и тд.
    Как вирус попадает на комп? Как обычный В. или есть "искушенные" методы заражения?
    Что происходит с вирусом когда он попадает на комп?
    Как криптуются(Если так можно выразиться) В-ы?
    Как проверить, есть ли закриптованный вирус на компе, и как защититься от него, до попадания на комп?
    Спасибо за любую инфу!!
     
  2. q2e74

    q2e74 Well-Known Member

    Blog Posts:
    0
    Joined:
    Oct 18, 2018
    Messages:
    1,000
    Слона не едят целиком, а ваши вопросы тянут на целый табун или стадо. Хотя так говорить не правильно, потому что у лошадей табун, у львов прайд, у баранов стадо, а слонов семья.

    Попробуйте книжку Эриксон. Хакинг Искусство эксплойта.
     
  3. Alexander

    Alexander New Member

    Blog Posts:
    0
    Joined:
    Jan 20, 2019
    Messages:
    2
    Тогда один вопрос, интересующий меня больше всего: как происходит криптование (дабы наш вирус менее палился антивирусами)
     
  4. Fail

    Fail Active Member

    Blog Posts:
    0
    Joined:
    Mar 14, 2012
    Messages:
    503
    В антевирусе есть сигнатуры - устойчивые последовательности чего либо(кода, поведения и проч). По ним и происходит палево.

    В инете инфы больше чем надо и еще немного:)

    По разному. На флешке\через эксплоит браузера\через уязвимость ОС и прочее.

    На что его запрограммировали, то и происходит:)

    Обычно, крипторами.

    https://www.kaspersky.ru/downloads/thank-you/antivirus-free-trial
     
  5. q2e74

    q2e74 Well-Known Member

    Blog Posts:
    0
    Joined:
    Oct 18, 2018
    Messages:
    1,000
    Alexander, вот у вас есть программа, внутри которой по сути "5 = 5". И антивирус ищет "5 = 5". Теперь вы берете и делаете такой фокус "5 - 3 + 3 = 5". Глупый антивирус не найдя "5 = 5" пропустит такую штуку, а умный нет. Но человек умнее антивируса, и всегда изобретает что-то такое вот, что бы обойти антивирус. Фишка в том, что можно писать программу изнутри программы, путем изменения программой самой себя. Поэтому для антивируса, внешне она будет не узнаваема. Хотя есть технологии, которые и таким программам позволяют "бить по рукам", но при таком раскладе в танки не поиграешь из-за тормозов.
     
    hidecontact likes this.
  6. Rel

    Rel Well-Known Member

    Blog Posts:
    2
    Joined:
    Dec 11, 2008
    Messages:
    5,320
    уже давно пора похоронить понятие вирус, это уже давно не актуально...
     
    maestroant likes this.
  7. Fail

    Fail Active Member

    Blog Posts:
    0
    Joined:
    Mar 14, 2012
    Messages:
    503
    Ну это собирательное название.. Уж тада надо хоронить "инфектор"
     
  8. Minzdrav

    Minzdrav Well-Known Member

    Blog Posts:
    0
    Joined:
    Mar 21, 2017
    Messages:
    1,082
    Сигнатуры можно выпусюкивать. Мне так росказывали.
     
  9. UbIvItS

    UbIvItS Well-Known Member

    Blog Posts:
    0
    Joined:
    Jan 5, 2007
    Messages:
    6,242
    морфить/криптовать кодезззззЪ сейчас абсолютно пустая затея, ибо современные аверки отлавливают не столько даже некие сигнатуры, сколько поведение программы == к примеру, аверка ставит хуки на апи, что позволяет на лету отслеживать действия процессов (кой-какие подробности тута https://www.adlice.com/making-an-antivirus-engine-the-guidelines/). впрочем, могут использоваться методы торможения: в аверке надо найти места, где она начинает сильно уходить в долгий иль совсем бесконечный цикл. Тогда измождённый юзерь тупо снижает уровень защиты в аверке, а то-сь и вовсе отрубает её. Таким дикобразом на систему происходит нападение ужо без всяких изысков. Второй метод гораздо более ЖЫвоОйЪ == нужно соорудить "белую" программу и юзери будут ставить её сами на свои макинки.. меж тем, в сию прогу встраиваешь определённый набор уязвимостей (к примеру, чрез возможность запускать в проге скрипты). Третий манёвр == изготовление сугубо соц. вирусов, то бишь целью является не комп, а сам юзерь :)
     
  10. Rel

    Rel Well-Known Member

    Blog Posts:
    2
    Joined:
    Dec 11, 2008
    Messages:
    5,320
    малварь - это собирательное понятие, которое актуально...
     
  11. M0rg0t

    M0rg0t Well-Known Member

    Blog Posts:
    0
    Joined:
    Oct 18, 2010
    Messages:
    1,589
    Криптор это , по факту, как упаковщик, просто с некоторыми фишками (антиэмуляция, шифрование палева, разбавление энтропии , а то аверы все пакованное по умолчанию банят) ну и т.д.
     
  12. hidecontact

    hidecontact New Member

    Blog Posts:
    0
    Joined:
    May 13, 2023
    Messages:
    1
    Это самое простое объяснение, "на пальцах", что я видел с момента изучения этого направления.
     
    TrashGen and q2e74 like this.