Хакерский Тест

Flint_ta

"если спалится один билд то другие палиться не будут."

Как спалится? По сигне? По функциональной сигне? По графу?

Я сильно сомневаюсь, что в этой Delph"овой поделке осуществлен полиморфизм такого уровня.

 

сомневаться ваше право. А дело в том что аверам проще добавить один выловленный билд, чем исправлять эмулятор, что они и делают.

 

ADD: На языке высокого уровня написать полиморфный движок на много проще чем на асме

P.S. Где кнопка редактировать пост?

 

Flint_ta

"исправлять эмулятор"???

Ты про каких AVеров? Которых в конторе человека 3 от силы? На полиморфные движки обычно делается куча семплов, верно? И при чем здесь исправление эмулятора? Или вы думаете, что потребуется ЧАСТИЧНАЯ эмуляция??? (частичная, потому что я не видел НИ ОДНОЙ поделки, где бы при добавлении ее в базы\создания на нее скрипта, требовалась полная эмуляция)

 

Flint_ta

Так вообще заочно говорить нельзя! Зависит от сложности и потребностей.

Сами ищем

 

ОК, допустим у аверов есть 3 билда криптованой малвари, которая их поделкой не палится. Что им делать? Сидеть и ждать пока появятся еще сэмплы и не добавлять в базы уже пойманных?

 

Flint_ta

Среверсить полиморфный двиг?

 

Не понял что имеется ввиду. Откуда у них двиг? У них есть есть сэмплы, в которых нет ни одного повторяющегося байта (pushad на OEP в расчет не берем), в поликоде юзается антиэмуляционный цикл, так что до стаба и декриптора эмулятор не добирается. По-этому они и добавляют выловленные сэмплы в базы, т.о. если малварь перекриптовать она снова не палится. Выход для них - писать обновление, а это они делает не часто!

 

это плохой антиэмуль

Я щаз с тобой с ума сойду. Грубо говоря, я написал полиморфный двиг, который может выдать в перспективе 5000 разных семплов. Так то хочешь сказать, что аверам надо каждый семпл найти и пофиксить базы, да?

Это глупости. Если это когда то и делалось, то сейчас все по другому.

 

Я такого не говорил, но для сигнатуры полиморфа нужно 100% не один сэмпл.
Скажу проще, в данный момент имеется проблема только с нодом, за полгода др.веб выпустил одну полноценную сигнатуру, от которой сразу же почистили полидвиг и до сих пор он не палит. Каперский за полгода сигнатуру так и не выпустил. Макафи периодически с переменным успехом пытается детектить Остальные пока просто заносят сэмплы в базы.

 

Неудивительно

Да это понятно, яж грю, там все по иному. Что ж ты к этим семплам привязался?

Вообще там 100 галок, по которым можно задетектить крипт. Посмотри, как сделана мутация в Metaphor-d, например. И это тоже палят. И дело там не в семплах.

 

А по поводу антиэмуля - вот ветка

http://wasm.ru/forum/viewtopic.php?id=32212

 

эта поделка сгодится только для того кто сестру младшую или бабушку решил обмануть ну или соседей, тогда велика вероятность что к аверам это попадет не скоро (возможно даже никогда), но когда инсталят десятки сотни тысяч билдов в сутки, вот отсюда и набирается нужное кол-во семплов для исправления эмулятора или еще чего.
все зависит от того какая нагрузка ни билд и на криптор в целом
криптор нагружен минимально потому и редко ловится, очередная байка про неуловимого Джо вобщем

 

откуда такая уверенность?

 

ohne

Ты что! Он же шифрется двестипятьдесятшестибитным ключом И у него там антиэмуляционныйцикл

Flint_ta

Просто пойми, что снимается абсолютно все. Посмотри на Арму или Фемиду.

Не стоит утверждать, что у тебя есть такой двиг, который ВООБЩЕ не палится, и крипт, который ВООБЩЕ не снимается. Может это и прокатит на форуме ввв.ксакеп.ру, но не здесь. Ты бы это еще на кряклабе сказал

 

Вот вы лично снимите арму или фемиду?

Я этого не утверждал, и про криптор вы первый начали. Рано или поздно все спалится, это всего-лишь вопрос времени.

лол где, в каком посте я это сказал?!

Я зареган там, но подобные темы там не приветствуются.

 

Начнем с того, что фемиду я уже ковырял

Цытата с ксакепру:

Особенности криптора:

...
...
- Avira и не один другой антивирус не палит.

P S

Все, я ушел.

 

Правильно я сказал на ксакепе что большинство тут любят постебатся. Killer - вы один из них.

А прямо ответить слабо Ковырять фемиду и снять это две разные вещи

 

Кроме Авиры, я так понимаю?

 

авира вообще не антивирус, чекер PE файлов.