Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

WELL Взлом вирусов Я тут на досуге статейку написал.


WELL Взлом вирусов Я тут на досуге статейку написал.
Взять можно тут http://www.chat.ru/~wellsite/CrackVirus.zip
Bad_guy если заинтересует, размести на cracklab’e.
Просьба сильно не пинать. Это первая моя статья.
KLAUS :: Ништяк МОЛОТОК, нужно будет вообще замутить серию статей об обходе антивирей, глядишь разрабодчикам попадётся да они хоть улутшат свои программы!

бара :: Смех. Ну и что вы получите - вас же этим и накроет... Я уже насоздавал клещей. Это почти невозможно контролировать.... К тому же все вирмейкры давно знают как обманывать антивирусы - вы Америку не откроете... А вири они уже задолбали... Надо с ними бороться...

Bad_guy :: бара пишет:
цитата:
все вирмейкры давно знают как обманывать антивирусы


Это уж точно - ни одни мы тут такие умные

WELL
Статью добавь через панель авторов на CRACKL@B - а то я могу забыть.

KLAUS :: бара
Ты чё под себя то всех подводишь, УМЕЕШЬ - молодец, но не факт, что тот кто будет читать будет вирмейкером!

бара пишет:
цитата:
Это почти невозможно контролировать


Если читал статью, то должен был заметить что речь идёт об BackDoor’ах, кот. как раз только ты ( после модификации) и сможешь контролировать!

бара :: ты не прав. Я вообще противник вирусов.
Во-вторых твой вирус по такой технологии проживёт ровно до следующего обновления антивирусных баз, те максимум неделю после попадание например к касперу...
Третье, - вири надо делать на полиморфном движке - тогда и побоку будет всё кроме сканеров памяти... С этим можно бороться через запрет OpenProcess...итп
Corp$e так тоже патчил свой джойнер, когда я ему сказал, что каспер видит. И что ? - Сейчас ловятся опять все его вири и джойнеры...
Под себя не подвожу и вообще, я просто говорю, что это не метод сокрытия - не катит как метод.
А смысл статьи в другом ИМХО - чтобы мы поняли кому мы доверяем охранять наш комп. WELL молодец - пусть народ знает кому они доверяют - посмотрят тесты и подумают...

ZX :: бара пишет:
цитата:
Во-вторых твой вирус по такой технологии проживёт ровно до следующего обновления антивирусных баз


Вообще-то 70% (это я предполагаю) вирей до сих пор не детектированы, потому как технология вирей - это информационная война, конкурентов например своих мочить и т.д.

бара :: Сознание вирмейкера необычно. Этих людей очень сложно понять. Иерархи этого дела не «просто пакостники», как можно было бы предположить изначально...
Тут очень глубокая философия, если разобраться.
Но они очень эгоистичные и циничные люди. Обычно обладают довольно глубокими знаниями. Их сознание не приняло мир, людей...
Они чувствуют себя чужими в этом мире...

MoonShiner :: Мало с чем тут написанным согласен. Поясняю:
Я начинал свою сознательную жизнь именно с написания вирусов. Имеются в виду классические вирусы, а не то червячное дерьмо, которое почти все величают вирусами. Было это около 4-5-ти лет назад. Начал с досовых, через месяц писал резиденты, еще через месяц писал под ЕХЕ. Потом поперли стелсы, полиморфы и т.д., пока не добился, что они не детектились всеми имевшимися на тот момент авирями. И в памяти тоже не ловились. Далее перелез на винду, а потом увидел статью о взломе винзипа. Дальнейшее известно:)
Почему я все это говорю... Уже не первый раз утверждаю, что написание вирусов - один из лчуших способ познать работу системы. Над вирусом можно извращаться бесконечно долго, и его улучшение невозможно без углубления знаний о низкоуровневой организации ОСи. Замечу, что люди, которые клепают вирусы для себя и именно для этих целей очень редко распространяют свои творения. Распространения вирей я понимаю и не принимаю. А уж наличие какой-либо деструкции в вирусах меня просто бесит. Особенно если представлю какого-нибудь дистрофана за компом, который только так и может всем напакостить. Единственный раз, когда я принес виря на чужую тачку, был в моем институте. Он по субботам предлагал пива попить:) И все. Хотя свою тачку я заразил капитально, причем размер прог рос с кошмарной скоростью (разные вири постоянно эти файлики перезаражали:).
Насчет неидентифицированности 70% вирей... Смотря что понимать под идентифицированностью. То, что авирь назовет его хотя бы неизвестным имеет вероятность явно большую 70% (такого количества оригинальных идей, чтобы наколоть авирей просто нет).
По поводу полиморфности... Если почитать истори развития вирей, то можно узнать, как 95% тупых прог, детектящих вири по сигнатуре сразу ушли в даун с появлением полиморфов. Но сейчас есть очень продвинутые приемы детектирования и полиморфов (эмуляция кода, например). Естественно, можно это дело обламывать, но это все не более чем трюки и действенны против конкретного таргета-авиря.
По поводу эгоистичности вирмейкеров... Я наоборот стремился поделиться этимим вещами со всем миром. Другой вопрос в том, что миру это было нахрен не нужно:) Вири, повторяюсь, я писал не из-за какого либо душевного протеста, а просто из интереса и жажды знаний. Вообще, я считаю, что в вирмейкерство как и в крякинг приходят люди, которых запарило писать «hello world», и которым хочется чего то более серьезно. Конечно, можно было сказать - иди-пиши серьезное и полезное, но встает вопрос, а где взять знаний? Крякерство и вирмейкерство - приятные (так как асоциальность поведения в крови у любого человека:) вещи и очень информативные и полезные. Не спорю, бывают случаи, когда довольно сильыне и опытные программеры удараются в крякинг, но готов поспорить, что начало их карьеры было связано все-таки с подобной деятельностью:)
Написание вирей (червей, троянов) очень полезное дело (если их не распространять), поскольку их жизнеспособность в агрессивной среде авирей полностью зависит от уровня автора. А так хочется, чтобы твое детище жило подольше:)

dMNt :: MoonShiner, блин
аж ностальгия пробила

[ChG]EliTe :: MoonShiner
Да хорошо сказал...

WELL :: Статья действительно направлена на то, чтобы люди знали чем пользуются.
Чтобы поняли, что нельзя слепо верить антивирю.
Взять ту же Панду. Реклама не каждом углу. А результат нулевой.

Насчёт написания вирей. Писать вирусы действительно интересно, к тому же многие вирусные приёмы тесно связаны с защитой от взлома. Тот же полиморф в аспре.

Что касается распространения, так это дело лично каждого.
Но я надеюсь, что разработчики антивирей (если, конечно прочитают статью =) )обратят внимание на уязвимости своих сканеров.

WELL :: Bad_guy
Статью добавил, только кажись криво =) Про тэги не прочитал =)

Интересно, а почему мне на мыло 2 письма с конвертом пришло с разных адресов?

бара :: это я тебе статью подредактировал для отправки Bad_guy’ю....

Про вирусы хватит. Не согласен я ни с чем, сказанным свер ~ и сам писал их ещё под DOS, но не распространял. И под Dos4gw делал проги, которые могли всплыть даже в любой программе W98 и пропатчить код (!!!). Так что в курсе....

WELL :: бара пишет:
цитата:
это я тебе статью подредактировал для отправки Bad_guy’ю....


Спасибо.

SLV :: Well, твоя статья действительно хороша, но я хотел бы добавить к ней кое-что. Таким способом можно обмануть и файловые нанлизаторы. Вместо dec esp; inc esp можно написать всё, что угодно (в разумных пределах). Но я бы написал так:
...
(EP = 12345)
...
mov eax,12345
jmp eax
...
Так можно запутать чела, который захочер распаковать троян вручную. Может даже UPX-RIPPER не распакует .

WELL :: SLV пишет:
цитата:
Таким способом можно обмануть и файловые нанлизаторы


У антивирей и анализаторов схожие принципы работы.
Только вот антивири шароварные, поэтому и работать должны лучше, а именно эмулировать код.

KLAUS :: SLV пишет:
цитата:
mov eax,12345
jmp eax


В статье специально был вставлен такой ( в середину распаковщика) код, чтоб он уместился в 8 байт, если вставлять твой пример, то его только в конец кода....

Dr.Golova :: Из прочитанного можно сделать вывод что некоторые ав не умея разжимать upx для проверки кладут сигнатуру на запакованные данные. Тот же dr.web кладет маски на несколько самых популярных пакеров, upx к которым явно относится. Соответсно если зажать это чем-то менее популярным результат будет плачевным.
Ну а вообще модифицировать можно любой бэкдор и спятать его от любого ав, но это будет уже новая версия малвары и детектится она доложна под другим именем ;)

› Во-вторых твой вирус по такой технологии проживёт ровно до следующего обновления антивирусных баз, те максимум неделю после попадание например к касперу...

Кстати у каспера апдейты выходят каждые три часа ;-)

› тогда и побоку будет всё кроме сканеров памяти... С этим можно бороться через запрет OpenProcess...итп

Все нормальные люди читают память через спецальный драйвер :)

› Только вот антивири шароварные, поэтому и работать должны лучше, а именно эмулировать код

Эмулировать кад в данном случае не поможет - сигнатура пакера один хрен другая. Или ты предлагаешь эмулить весь процесс распаковки? Гы, ну тогда будешь ждать по часу проверку каждого такого файла :)

бара :: Насчёт чтения памяти через специальный драйвер. Где можно найти исходник такого драйвера (желательно на asm-е) ? Можно в приват линк

WELL :: Dr.Golova пишет:
цитата:
Эмулировать кад в данном случае не поможет - сигнатура пакера один хрен другая. Или ты предлагаешь эмулить весь процесс распаковки? Гы, ну тогда будешь ждать по часу проверку каждого такого файла :)


Я конечно согласен с тем, что скорость сканирования критична для антивирусного софта. Ну можно хотя бы что-нибудь типа хардкорного скана сделать. Для особо подозрительных объектов.
P.S. Dr.Golova а у вас можно статью поместить ?

WELL :: Кстати вот HTML-конверт статьи, который сделал бара .
http://www.chat.ru/~wellsite/CrackVirus.htm

KLAUS :: Ток она там не до конца....

бара :: я такую уродливую статью не делал (тут всё в непонятной кодировки, хвоста нет и вообще народ не верьте - это не я такое наконвертил )

WELL :: Да ну его этот chat.ru. Это он редиска все испоганил.
Я вот выложил в зипе.
http://www.chat.ru/~wellsite/VirusHTML.zip

WELL :: Bad_guy Ну как, разместишь ?

fuck it ::

fuck it :: мое мнение : чисто сумбур какойто, как будто автор начал от балды копаться в upx и проверять на видимость в антивирях, и теори, ничего, чисто наугад, а вось повезет.
Чё это за херня, туды сюды upx мутить, пакавать, расспокавать, и еще типа этот спобо очень удобен, да... конечно, все вирмэйкеры тока спят и видят как бы это файл раз 10 запоковать-распоковать при заражении.
А что то если запакавать редким пакером вирь и он не определиться думаю понятно и так.

а вааще есть статьи на это тему получше...

WELL , не обижайся

WELL :: fuck it пишет:
цитата:
как будто автор начал от балды копаться в upx и проверять на видимость в антивирях, и теори, ничего, чисто наугад, а вось повезет


Ну зачастую многие вещи так и узнаются. Предполагаешь чего-нить, проверяешь смотришь почему так, а не иначе и т.д.
fuck it пишет:
цитата:
Чё это за херня, туды сюды upx мутить


Так проще всего. Причем любому челу, который даже и асма не знает.

fuck it пишет:
цитата:
А что то если запакавать редким пакером вирь и он не определиться думаю понятно и так.


Ну вот запаковал я LD AlexProt’ом. Только McAfee его определил
А ведь AlexProt редкая вещь =)

А вообще цель статьи - показать, что антивирусы очень легко обмануть. Изменением 4-х байт .

fuck it пишет:
цитата:
WELL, не обижайся


Я не обижаюсь. Статья первая. Первый блин сам знаете... =)

fuck it :: WELL
ё.. реально,
я думал ты сейчас бочки будешь какить, респект.. реальный чел... критику воспринимаешь

WELL :: В споре рождается истина. Я так думаю...

бара :: В споре рождаются синяки и трупы...

(c) Baron Gede

WELL :: бара пишет:
цитата:
В споре рождаются синяки и трупы


Ну это смотря как спорить =)
P.S. «Рождаются трупы» - классная фраза =)






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS