может получится обойти антивирь %) а может и нет :-P

Тема в разделе "WASM.WIN32", создана пользователем Necromancer13, 8 июн 2008.

  1. Necromancer13

    Necromancer13 Виталий

    Публикаций:
    0
    Регистрация:
    26 окт 2007
    Сообщения:
    202
    Адрес:
    Украина, Берегово
    вижу, что многие функции API начинаются с .....
    Код (Text):
    1. mov edi,edi
    :lol: ... фиг знает, зачем им понадобилась это =)

    я вот подумал..
    а что, если вызывать функцию так?

    Код (Text):
    1. mov eax,[ExitProcess]
    2. inc eax
    3. inc eax
    4. call eax
    Ведь два байта не обязательно первые... зачем помещать в EDI содержимое EDI..?
    не получистя ли так обойти антивирь?
     
  2. Black_mirror

    Black_mirror Active Member

    Публикаций:
    0
    Регистрация:
    14 окт 2002
    Сообщения:
    1.035
    Necromancer13
    а ты перед mov edi,edi видел 5 nop'ов? я думаю что это сделано специально для установки хуков :)
     
  3. Necromancer13

    Necromancer13 Виталий

    Публикаций:
    0
    Регистрация:
    26 окт 2007
    Сообщения:
    202
    Адрес:
    Украина, Берегово
    хы... точно.. возможно...
     
  4. Com[e]r

    Com[e]r Com[e]r

    Публикаций:
    0
    Регистрация:
    20 апр 2007
    Сообщения:
    2.624
    Адрес:
    ого..
    это в мс дебаггили
     
  5. Necromancer13

    Necromancer13 Виталий

    Публикаций:
    0
    Регистрация:
    26 окт 2007
    Сообщения:
    202
    Адрес:
    Украина, Берегово
    ну так можно таким способом обойти антивирь или нет? %)
     
  6. dead_body

    dead_body wasm.ru

    Публикаций:
    0
    Регистрация:
    3 сен 2004
    Сообщения:
    603
    Адрес:
    Украина;г.Харьков;г.Н.Каховка
    Necromancer13
    они же хучат из дровины, так что не выйдет.
     
  7. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Necromancer13
    На сколько я знаю это для Hot patch'ей
     
  8. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    dead_body
    смотря что хучат.
     
  9. Com[e]r

    Com[e]r Com[e]r

    Публикаций:
    0
    Регистрация:
    20 апр 2007
    Сообщения:
    2.624
    Адрес:
    ого..
    антивири то можно и обойти - почему нет?
    но проактивки тебе покажут то, за что меня банили два раза.
     
  10. Twister

    Twister New Member

    Публикаций:
    0
    Регистрация:
    12 окт 2005
    Сообщения:
    720
    Адрес:
    Алматы
    Думаю таким методом антивирь не надуть - эвристика, все же, не так плоха, как о ней думают многие... ;)
     
  11. jhons

    jhons New Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2007
    Сообщения:
    26
    есть смысл дровине хучить api ?
     
  12. jhons

    jhons New Member

    Публикаций:
    0
    Регистрация:
    23 ноя 2007
    Сообщения:
    26
    если это api - считал таблицу размещения и кидайся напрямую по оной, однако. хотя ... предложенный способ как раз наоборот ... для обхота хуков применима вполне.
     
  13. KondraT

    KondraT Member

    Публикаций:
    0
    Регистрация:
    22 янв 2006
    Сообщения:
    175
    У меня тоже была идея, подобная этой. Только я думал считывать несколько команд, с которых начинается апишка, выполнять их в своем коде, а затем прыгать уже на саму функцию после этих команд. Вроде НОД32 после таких извращений затих...
     
  14. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    Ну обычно инструкции в себе выполняют чтобы бряков избежать на начало функции для антивирусов это па моему до ж..ы =)
     
  15. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    Necromancer13
    Хороший способ, реально может обойти эврестический анализ некоторых антивирусов. Но плохо, что может быть не стабильным и не переносимым - ибо этот пролог для HOTPATH'ей не везде.

    KondraT
    +1. Really! Стабильно и эффективно!

    Twister
    Эврестика не плоха, но все зависит от конкретного антивируса.
     
  16. dead_body

    dead_body wasm.ru

    Публикаций:
    0
    Регистрация:
    3 сен 2004
    Сообщения:
    603
    Адрес:
    Украина;г.Харьков;г.Н.Каховка
    согласен.
    Necromancer13
    почему бы тогда сразу не делать sysenter ?
    обойти антивирусы можно тем, что бы писать код, не похожий на вирусы, и содержащий кучу разных вызово АПИ. А вот нестандартное поведение может быть расценено как:
    1) Warning! Unknown Packer
    2) Warning! Suspicous File
     
  17. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    Это выравнивание памяти
     
  18. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    "Это выравнивание памяти"

    враки это место для джампа
     
  19. Colibri

    Colibri New Member

    Публикаций:
    0
    Регистрация:
    8 май 2008
    Сообщения:
    117
    давайте обходить не абстрактный "антивирь", а конкретные элементы защиты

    Так вот в конкретике:
    1. В сеть таким образом не выйти. Т.к. хуки стоят в ядре
    2. Сигнатуру таким образом не скрыть. Нужен морфер.
    3. Проактивную защиту так же не обойти. Т.к. вся защита в ядре.

    Тогда что остается? ))

    от hijack перехватов многие ав отказались давно.
    Эта технология малоэффективна.

    Взять тот же аутпост 4й и 6й и сравнить количество сплайсов на юзермодные функции.

    эмулятор таким образом тоже не обойти.
    Касперский раскручивает на раз.

    Так что тогда остается?? К чему создавать гемморой и проблемы с переносимостью?


    Для универсального решения, нужно корректировать
    инструкции с относ. переходом (например call ****, jz**, jmp**, loop **) и т.д.
    Для этих целей нужен дизасм.

    Цель средств не оправдывает.
    для обхода эмуляторов есть более простые решения
     
  20. nester7

    nester7 New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2003
    Сообщения:
    720
    Адрес:
    Russia
    Какие же?