ВирусБлокАда что за зверь и где работает Инде ?

Rel,

Ты просто глючишь.

 

Ну вот как раз тут все правильно, или хочешь сказать, что у тебя нет такой татушки на ягодице?

 

Это у яшечки спроси, я не имею никаких мастей цепей и ничего лишнего на своём теле. Есть всякие люди, маглы с топорным мышлением и для выделения себя наряжаются как ёлки, даже какие то рисунки на теле выбивают. Это делают что бы обратить на себя внимание, мне же внимание не нужно это угроза. Спец должен быть не заметен во всём. Если бы я как эти идиоты надел какие то цепи на руки меня бы давно бы намотало на шпинделя станков убило током или бы придушили в конфликте.

 

То есть Яшечка в курсе, что там у тебя на ягодицах набито? Ну окей, не то чтобы меня это особо интересовало, но спросить можно.

Так а какие там у тебя в Вирус Блокаде станки? Да и конфликты какие тоже?

 

Rel,

> То есть Яшечка в курсе, что там у тебя на ягодицах набито?

Учитывая что ты топорный троль, такой вывод ничем не удивителен. И в чём логика тут, как такой отморозок мог как то преподавать это был фейк однозначно.

> Так а какие там у тебя в Вирус Блокаде станки?

Слабоумный троль обычно россия ничего нового ты тут давно как говно мамонта и ничего нового.

 

Ну я тоже самое могу сказать про твое утверждение, что ты работаешь электриком за 400 баксов в месяц, так что мы в каком то смысле квиты.

Не, ну почему же? Про то, что ты авер, я довольно недавно узнал. Про десятки тысяч семплов тоже недавно было. Эта тема еще долго не устареет.

--- Сообщение объединено, 15 авг 2020 ---

Не совсем понял, при чем тут "россия"?

 

Да но какой процент стиллеров так будут делать ?)
Я скажу, чуть меньше 0%.)))

А кто-нить видел криптор, который-бы обходил детект нода в памяти, не морфил-бы самого зверька, а именно как говорит Инде, через супер-мега анклавы, я не встречал ?

Это не стеб, есть такое вообще ?

 

Я делал такое через пейдж но акцесс и перехват и обработку ексепшена, но работает софтина после модификации раз в 20 медленнее а то и больше

 

sl0n,

Если сделать область N/A, тогда при каждой выборке нужно копировать инструкцию в буфер, туда дописать ветвление. Это конечно всё большие тормоза. Был даже у меня какой то двигатель dype" вроде он работал на подобных принципах(подмена выборки через ловушки), я и сам не помню можно поискать.

X-Shar,

> Да но какой процент стиллеров так будут делать ?)

Никакой, вопрос в другом тогда. Какой процент этих поделок написан не школьниками - 0% ?

Это сложные техники и школота/кнопкодавы просто технически не способны подобное реализовать.

 

Да, если говорить про качество этих поделок, то там треш вообще...)))

Другое дело почему эти поделки работают, т.е. они продаются, те-кто покупает решают в целом свои задачи, иначе смысл-бы их покупать.

За примерами ходить не надо, те-же конкурсы, которые регулярно устраивают криптолокерщики, а это 15-20 к. баксов отдать, для многих нужно например год работать, что-бы заработать даже это, а для них это наверное копейки, раз так спокойно с ними расстаются.)

Просто хочу сказать, не уверен, что криптолокер это супер-пупер какая-то разработка в малварном мире, тем не менее заработок у них космический.

А почему так ?

Лично у меня два вопроса:

1. К антивирусным компаниям, как-бы можно и лучше защищать, не ?

2. К организациям и отделам ИБ, в общем-то вопрос такой-же как и к антивирусным компаниям.

 

Если такое и есть, то для каких-то своих ПП, ну уж никак не для паблика. Работать с потоком людей - это всегда треш и бред, вот сделал ты супер-криптор, а тебе пишет условный Х , который купил "амадей / триумф" и оно не пашет после крипта или палится или еще что, и это разбирать (реверсить говноподелку, че там ей надо) за 20-25 баксов смысла нет. А вот под крупную ПП - почему нет. Посмотри на той же дамаге старые темы (10-14 годы), там много было идей, и свой Си-компилятор, который уже генерит морф-код, и стековые вм, да много чего, но запилить такое и продавать по 20 баксов за крипт для очередного азора - смысла нет.

Indy_, мне сложно участвовать тут в дискуссии, т.к. не до конца понимаю, как авер читает память процессов из ядра, как их вообще сканирует (тот же говНод проверяет все), все процессы или лишь -X- память. В теории, поставить хук на виртуаллок/виртуалпротект, и если там исполнение - сканировать, как это обойти?

 

M0rg0t,

> как это обойти?

Тот пример выше по крипте задал человек не понимающий суть крипта. Криптор по сути загрузчик, он упаковывает образ, удаляя статик сигнатуры. Криптор не полноценный морфер это всё школьные поделки и авер это легко ловит на основе десятка семплов(создаётся сигнатура).

Когда крипт отработает, образ оказывается в памяти полностью открыт, загружен. Тогда сканер памяти запалит, те крипт к динамике никакого отношения не имеет. Удивитесь что вмп является тоже криптором - покрывает лишь малую часть кода апп, тк не может определить указатели на процедуры, отличить код от данных.

Простой пример - вызов MessageBox(). Технически строка не преобразуется в юникод, выборка просходит прямо из ядра по юзер указателю. Это значит что нельзя его контролировать, ядерную выборку - нельзя для юзер апп использующего данный вызов создать невидимую область памяти. Поэтому нет общего решения и крипта в таком виде невозможна.

Может быть локальное решение - убрать из семпла подобные вызовы что бы небыло прямых ядерных ссылок. Тогда можно скрыть образ - создать с-анклав, для этого нужен тот самый визор что бы изменять юзер выборку к не существующей области. Но даже если всё апп будет скрыто в памяти, сама надстройка, транслятор будет виден. Поэтому должен применяться к нему всё тот же морф, иначе сканер запалит по телу транслятора.

--- Сообщение объединено, 16 авг 2020 ---

> не до конца понимаю, как авер читает память процессов из ядра

А что там понимать, обёртывает выборку в SEH что бы не отвалиться и читает память напрямую.

--- Сообщение объединено, 16 авг 2020 ---

M0rg0t,

Я нашёл свою тему с семплом https://wasm.in/threads/skrytie-modulja.31872/

Я искал задачу по данным, code vs data, это наверно было на кл хз.

 

У Blizzard и Riot упаковщики для игр работают похожим образом. Релокация образа, NA/SEC_NO_CHANGE секции и распаковка по требованию.

 

Обнаружили случайно как раз из очень малой популярности VBA. Stuxnet тупо не тестировали на машинах с VBA, в итоге эти машины бсодили

https://eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight/

 

Да весьма сомнительное достижение. Но зато у них теперь есть визор, на котором гоняется десятки тысяч семплов, все крипторы вскрываются и тд. Наверняка их ждет серьезный успех.

 

)) недооценили разрабы беларусов, из-за чего и спалились.
кстати, в Юа тоже есть какой-то авер, зилля, там вообще по ходу (по слухам) треш.

 

hiddy,

> SEC_NO_CHANGE

Это моя очень старая техника. Есчо до ваших аверов было реализовно.