Не помню в какой теме разводили холивар по поводу кодовой интеграции и прочеих супер ВХ техник. Топик богатый бредовыми фразами "Полиморфизм мертв" "Метаморфизм рулит" "Кодавая интеграция будующее" "Рок жив" "Реп кал" и.т.д. Говорили что таокой зверь как Zmist, Z_Mist, Mistfal принес аверам головную боль, месяцами не спали пытались задетектировать и.т.д. Вобщем было 20 файлов зараженных этим чудом по которым я взялся написать детект. На сам алгоритм детектирования понадобилось 1-1.5 часа времени, самое сложное было дождатся подходящего настроения чтоб победить лень и написать этот детект с 0ля. Ну вот вчера собственно както появилось время и настроение но лень победил не полностью поэтому код не совсем секьюрный получился но работает. Детектирует все предосавленые семплы, чтоб давал фолсы не нашел. И так минусы данного зверя, в том что он больше похож просто на реализацию идеи как научное пособие. 1) Хреновая идея была размещать все криптованое тело зверя в кодовой секции. 2) Рандомный генератор криптования дает много слабых декрипторов типа: @@ xor [data],Key1 xor Key1,Key2 loop @b @@ add [data],Key1 xor Key1,Key2 loop @b @@ xor [data],Key1 add Key1,Key2 loop @b @@ add [data],Key1 xor Key1,Key2 sub Key2,Key3 loop @b 3) Само закриптованое тело почти не преобразовано (оно то и понятно иначе размер вырос бы не в 30кб а в 60кб) поэтому найдя криптованые данные в секции раскриптовав 4 дворда (т.к. декрипторы слабые) можна получить детект. 4) Декриптор покрыт ну очень хреновым генератором мусора. Ну и из плюсов: Почти все АВ детектируют ZMIST по декриптору и по криптованым данным поэтому элементарно изменив мусорный движек можно избавится от 90% детектов. Поэтому зделать из него недетектируемого на данный момент (пофикся некоторые минусы) работы на 2 часа. Семплы 2d4t23tf54yuiv34cu http://www.sendspace.com/file/znfql4
Забыл написать как тулзу использовать. <ZmistDetect.exe> <namefile.exe>. Исходники выложу чуть позже.
А зачем его запускать? Вопрос просто чисто человеческий. Неужели выложить алгоритм/принцип/кодовую реализацию, чтобы любой желающий смог таки воспользоваться решением, не боясь что твой УЧУ-шник заражен вирусом, который ты подхватил со вчерашней флешки? Что вообще за мания - на wasm-е выкладывать exe-шники.... не понимаю всеми фибрами души...