UbIvItS, Могу запилить взятие всей процедуры конструктором, десяток строк занимает. Вот только смысл совсем не в этом.
Лайки есть, следует наверно дизлайк запилить. Что бы у пользователя, который чушь вещает появился отрицательный рейтинг и автоматика его забанила....
DelAlt, Как вы себе это представляете ? Визор раскодирует поток инструкций и через кольцевой буфер обнаруживает цикл, при этом не раскодируя...
R307, > 1)Криптуем вирус конструктором, например этим https://ru.wikipedia.org/wiki/XTEA Каким есчо конструктором, вы термины попутали....
Допилил немного.
Хотелось бы чего то актуального и современного, а не досы :scratch_one-s_head:
alex-rudenkiy, > как встречается какой нибудь call, то прога тупо накрывается. Во первых изучите релатив(относительную) адресацию. Адрес...
Fail, > Ну зло надо лить таким образом, что бы детекта небыло даже в теории) Человеческий фактор" - забыл запаролить и всё пропало. Там баба...
Фиксит нт большая группа спецов. Как пример последняя smb-атака, оперативно зафиксили и даже выпустили заплатку для не поддерживаемой XP. Подобное...
Мой кореш поставил какой то софт яндекс для работы с сабжем, он оказался инфектед и слетела ось. За это ему дали много места на диске. Сервис не...
Покажите как вы это делаете, подробности про исключение.
UbIvItS, > любой вариант упирается не в код как таковой В общем случае без запуска кода нельзя узнать что он делает, в статике. Событие записи...
DelAlt, Это общепринятые понятия. А что вы будите перестраивать, если нечего, нет исходного кода. А имея его и метаморфить ничего не нужно,...
DelAlt, > Оба варианта используют в конечном итоге ребилд из абстрактного представления, не важно как оно было получено. Разница именно в том,...
UbIvItS, > простой способ задетектить полиморфа -- это сам факт записи в executable memory. А зачем туда писать ? Даже если и нужно по какой то...
Atari, > Смысл тогда вообще в компиляции?! Почему не использовать просто свой же бинарь и не преобразовывать его? Обработка машкода на уровне...
UbIvItS, [ATTACH] Вот семпл для примера. Детектор ровный, но выделение цикла в буфер нужно есчо допилить. Там буфер в 64 поинтера. На кряклабе...
UbIvItS, Регистровые ветвления: [R + n], косвенные [M] etc так не могут быть обработаны, только релатив, иначе после выделения цикла управление...
UbIvItS, Зависит от размера цикла. Если например 64 указателя помещается, то цикл может состоять макс из 64 инструкций. А почему вам именно...
UbIvItS, Сохранится трасса для функи, затем если она совпадёт на следующей итерации цикл обнаружен. Если же внутри функи сработает какое то...
Имена участников (разделяйте запятой).
