ок про дефендер у него сервис в памяти висит и процессы ну там раз в 10 секунд чекает это не точно, чтобы его обмануть нужно части процесса в маяти шифровать это если автоматикой если руками то нужно понять что он хотит , я делал так все страницы памяти в пейдж гуард обьявлял и шифровал когда был доступ через сех хендлер рассшифровывал --- Сообщение объединено, 24 фев 2021 --- ну както так так код позже покажу просто утро после 23 и прочие приключения, но думаю индий и так за меня расскажет --- Сообщение объединено, 24 фев 2021 --- но да сех это прыжок в ядро а там такое часто было ...ну раз в 16 медленне обычного процесса но на современных компутерах это почти не заметно --- Сообщение объединено, 24 фев 2021 --- после такого индий меня точно поваром обзывать перестанет --- Сообщение объединено, 24 фев 2021 --- все пойду на кунфу сериалы, если что пишите комп чвякнет прийду отвечу
sl0n, > там нужно память криптора в рантайме менять Ты показал что твой крипт вообще невидим для автоматики, не пиши больше чушь, давай лучше про еду вещай. RETN, > 2. поведение норм иметь Что бы узнать поведение нужна годная вирта, но её нет. Методы есть обхода общие. На этом заканчивается идея по облачным детектам. Те кто такое утверждают сами в облаках каких то мутных пребывают.
Ну в голове теоретиков все задачи уже решены, но на практике детект приходит примерно через 2 дня после того, как семпл улетел в облако. И да, некоторые семплы в облаке запускаются на виртуальном ханипоте, с которого можно снять профайл, но это уже другая история совсем.
От разных факторов зависит, может и в течении пары часов быть детект, обычно в течении суток, если мы говорим про криптованных зверьков. Делал эксперименты на Касперском и Ноде, думал даже статью написать, потом передумал что-то.)
Как практик скажу, что с криптом все грустно сейчас. Я сам не криптую, но спрос на услуги огромный, гораздо превышающий предложение. Суть крипта не в том , чтобы обойти все аверы и написать пост в бложеке "аверы гуан, я илита", а в том, чтобы делать это продолжительное время. Вот в этом вся проблема. Разок можно - взял 2019 студию, закодил с 0 РЕ лоадер, какой-то антиэмуль простой , и все, не палишься. Но, вот софт пошел в народ, его добавили в базы аверы, и тут начинается самое интересное. Точнее, неинтересное, рутина, морфить то, менять это, искать где и что спалилось.
M0rg0t, спрос щас на х64, у мну FUD в рантайме, НО - я не даю кому попало тоько на приват и абон точечно, и к сожалению делиться технологиями не могу, тоже надо кормиться, что б на сырок к хлебушку хватало бедному электрику/электронщику и его семье. PE лоадер это давно отстой. А по теме Indy_, дай семпл метаморфа чтоль Про поведение - Клерыч, сам понимает, я описал что пишут обычно просто хрень, с прописками в авторан и вылезают напрямую в сеть, для этого криптор должен быть только под софт с SDK или просто брать у заказоида сорцы и переписывать. а то дий какой то, со всем уважением, но не видел последнее время сорцев от Вас норм, про облако - Вы Бро зря, уж поверьте, там просто как в мясорубку попадают семплы и потом между Вашими же АВ конторами расходятся. ADD: сорян за коламбур и не соблюдение пунктуации, некогда, работаю...лавэ зарабатываю. --- Сообщение объединено, 26 фев 2021 --- sl0n, Ждем от Вас статейку про виндеф, чтоб Клерыч поваром не ругался)))
Ты только будь аккуратнее в этот раз, а то знаеши ли, "аверы и менты" (с) они везде. Ну я давно уже высказывался против криптования в пользу обфускации оригинальных сорсов, но тут тоже может доходить до того, что начинает палиться какой-то аспект генерации кода обфускатором. Ну и от реверса это тоже с каждым днем все меньше и меньше помогает, так как уже существуют неплохие алгоритмы свертки обфусцированного кода через оптимизацию или по каким то другим признакам.
У меня стабы обфусцируются на уровне сорцев. Но если сам входной файл УГ - то там поделать нечего --- Сообщение объединено, 26 фев 2021 --- Дело в том, что сейчас, как раньше никто не гонится за малым размером файла, я раньше применял LZNT2 сжатие через ntdll потом энтропию разбавлял сначала мусором, потом Base 64 имхо в статике это не гуд было, щас всё поменялось, пока отсутствовал, щас надо всё по секциям разбавлять рандомно (это хотя бы чтоб статики не было), потом антипроактивку делать, например по версии винды качать нужный семпл причем не соксами, а сисколами через NtDeviceIoControlFile, но это целая история... ))) Мож как будет не актуально не мне, напишу статейку, щас эти технологии приносят прибыль. Что касается сторонних файло крипта - смысл всё это 100 раз перехватывать - пусть сами себе свою жопомалварь лечат. Я этим не занимаюсь. Так что Rel за меня не периживай)) --- Сообщение объединено, 26 фев 2021 --- Я сейчас занимаюсь по договору чисто защитой софта, заодно его естественно реверсирую для одной известной компании в области 3D- графики и математики. --- Сообщение объединено, 26 фев 2021 --- ADD: технологии крипта оч. пригождаются, конечно все на х64 пришлось переписывать, все круто, и заказчики довольны, ломануть то что я пишу никакими диями невозможно.
Особенно, если вспомнить, что он один простой семпл разбирает 2 дня, такая вот автоматичная автоматика.
Так я понимаю, о том и говорил на прошлой странице, что спецы сейчас работают с конкретными людьми. Криптовать на паблик - удовольствие так себе. Потому и спрос превышает предложение. Только по РЕ лоадеру не понял. Или мы о разных вещах? Я говорю о manual LoadPe, а ты что юзаешь? Враппер , как у Инди, над системным загрузчиком?
Да, приблизительно. я не могу защиту софта просто палить на данной стадии, это как бы не криптор в обычном понимании и не отнюдь не для малвари.