Zmist detect

Тема в разделе "WASM.HEAP", создана пользователем PaCHER, 19 мар 2009.

  1. PaCHER

    PaCHER New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    852
    Не помню в какой теме разводили холивар по поводу кодовой интеграции и прочеих супер ВХ техник. Топик богатый бредовыми фразами "Полиморфизм мертв" "Метаморфизм рулит" "Кодавая интеграция будующее" "Рок жив" "Реп кал" и.т.д. Говорили что таокой зверь как Zmist, Z_Mist, Mistfal принес аверам головную боль, месяцами не спали пытались задетектировать и.т.д.

    Вобщем было 20 файлов зараженных этим чудом по которым я взялся написать детект. На сам алгоритм детектирования понадобилось 1-1.5 часа времени, самое сложное было дождатся подходящего настроения чтоб победить лень и написать этот детект с 0ля. Ну вот вчера собственно както появилось время и настроение но лень победил не полностью :) поэтому код не совсем секьюрный получился но работает. Детектирует все предосавленые семплы, чтоб давал фолсы не нашел.

    И так минусы данного зверя, в том что он больше похож просто на реализацию идеи как научное пособие.
    1) Хреновая идея была размещать все криптованое тело зверя в кодовой секции.
    2) Рандомный генератор криптования дает много слабых декрипторов типа:

    @@
    xor [data],Key1
    xor Key1,Key2
    loop @b

    @@
    add [data],Key1
    xor Key1,Key2
    loop @b

    @@
    xor [data],Key1
    add Key1,Key2
    loop @b

    @@
    add [data],Key1
    xor Key1,Key2
    sub Key2,Key3
    loop @b

    3) Само закриптованое тело почти не преобразовано (оно то и понятно иначе размер вырос бы не в 30кб а в 60кб) поэтому найдя криптованые данные в секции раскриптовав 4 дворда (т.к. декрипторы слабые) можна получить детект.
    4) Декриптор покрыт ну очень хреновым генератором мусора.

    Ну и из плюсов:
    Почти все АВ детектируют ZMIST по декриптору и по криптованым данным поэтому элементарно изменив мусорный движек можно избавится от 90% детектов. Поэтому зделать из него недетектируемого на данный момент (пофикся некоторые минусы) работы на 2 часа.

    Семплы
    2d4t23tf54yuiv34cu
    http://www.sendspace.com/file/znfql4
     
  2. PaCHER

    PaCHER New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    852
    Забыл написать как тулзу использовать. <ZmistDetect.exe> <namefile.exe>. Исходники выложу чуть позже.
     
  3. TbI_TyT

    TbI_TyT New Member

    Публикаций:
    0
    Регистрация:
    2 мар 2009
    Сообщения:
    58
    PaCHER
    Не выкладывай! ;) не хочу подсказки )
     
  4. PaCHER

    PaCHER New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    852
    В чем подсказка. Загрузил тулзу в дизасм и получил весь код. Тут структуры хоть описаны.
     
  5. aa_dav

    aa_dav Active Member

    Публикаций:
    0
    Регистрация:
    24 дек 2008
    Сообщения:
    512
    А зачем его запускать? Вопрос просто чисто человеческий. Неужели выложить алгоритм/принцип/кодовую реализацию, чтобы любой желающий смог таки воспользоваться решением, не боясь что твой УЧУ-шник заражен вирусом, который ты подхватил со вчерашней флешки? Что вообще за мания - на wasm-е выкладывать exe-шники.... не понимаю всеми фибрами души...
     
  6. PaCHER

    PaCHER New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    852
    aa_dav
    Бред.

    Исходники в аттаче. Качай запускай заражайся %).
     
  7. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    PaCHER
    Гы, сбить легко. Пеши исчо )
     
  8. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    EvilsInterrupt
    он вроде бы это в первом же посте написал
     
  9. K10

    K10 New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2008
    Сообщения:
    1.590
    Где же BlackParrot?