Посоветуйте пожалуйста статьи/книги где можно почитать о современных методах обхода антивируса с примерами кода, хочу разобраться как создается криптор.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Криптор
- Автор темы hk111
- Дата начала
Ну какую книгу, ты чего? Читай доклады со всяких блек-хетов, там основные современные "обходы" + гугл.
Хах, вы чё, коты?
Не, ну лев - тоже по сути кот...
По сабжу: в современных реалиях, имхо, добротный обфускатор даст куда лучший результат, чем криптор. Как минимум за счет того, что не нужно в памяти размещать исходный бинарь, который никак не изменился в процессе. Понятно, что без сорсов часто нормально не обфусцировать (ну кроме дотнетов или джавов, конечно), и криптор может рассматриваться, как чисто на продажу, но все же... Сейчас уже надо слишком хитро выебывать этот криптор, чтобы это было хоть чем-то лучше обфускатора/морфера.
- Автор темы
- Добавить закладку
- #5
Имею ввиду такие как Antivirus bypass techniques, но она за 21 год
the most common way used nowdays to bypass antivirus is A process hollowing technique you can learn it by downloading open projects from github
К сожалению, общих техник, практически, нет. А те что работали в 21 году, вполне могут сработать и сегодня (и часто работают). Но, опять же, у разных аверов все по разному, какой-то, к примеру, не изменял в движке ничего существенного несколько лет, а какой-то, каждый месяц выкатывает что-то новое. Взять тот же виндеф, еще пол года назад с ним можно было жить, а сегодня это довольно кусачий гад. Как то так
гугл тебе поможет и знание натива
ТС, просто учись кодить. По факту, криптор это просто прога, которая берет малварь, и делает другую прогу - ехе , длл или что. Прогу, максимально похожую на легальную, но которая распакует и выполнит пейлоад (малварь).
- Автор темы
- Добавить закладку
- #10
у меня есть опыт кодинга на питоне и js, но это не подходит под данную задачу я так понимаю? нужен какой нибудь С, С#?
Это можно и на Петухоне сделать, вызывая winapi через ctypes, а потом все упаковать PyInstaller или какой-нибудь Nuitka. Но это будет всрато. Можно взять почти любой нативный язык: Цэ, Плюсы, Дэ, Ним, Раст, ну или дотнеты с Шарпами. Но опять же, чтобы не тупо скопипастить код с гитхаба, а сделать самому, нужно понимать, что и для чего ты делаешь.
Тебе нужен язык, на котором ты сможешь создавать бинарники и вызывать винапи. Да, конечно это можно делать на чем угодно, хоть на РНР - но нужен именно нативный язык. Т.е. изначально спроектирован для гуи, а не разные электроны / pyqt и подобное.
Суть криптора, как уже говорил, в принципе несложная. Ты берешь малварь, декодируешь ее (допустим хекс-ксор-рор-бейс1488), сохраняешь как пейлоад (можно разбивать на части, зависит от фантазии. Дальше делаешь любую гуи прогу, которая считает от 1 до 1000 и назад перемножая квадратные корни, т.е. делает вроде любую бессмысленную работу. Но, в фоне распакует пейлоад, декодирует и с помощью технологий вида RunPE / LoadPE запустит.
Как мне кажется, самый лучший способ в чем то разобраться - это погрузиться в проблему. Другими словами, возьми нечто, что ты бы хотел спрятать от антивируса (начни хотя бы с виндефа) и попробуй способы, что описаны в Antivirus bypass techniques. Так же, много способов есть на гитхабе. Эксперементируй и спустя какое то время к тебе придет понимание, на что реагирует авер и как с этим бороться.
А вообще, эта тема настолько обширная, что задавать общие вопросы бессмысленно, у аверов куча техник обнаружения и про каждую можно много чего рассказать. Так что начни с чего нибудь и у тебя появятся уже конкретные вопросы и вот с ними и возвращайся)).
Можно еще, с помощью donut или чего то подобного, конвертнуть в шелкод и запустить уже его.
А вообще, эта тема настолько обширная, что задавать общие вопросы бессмысленно, у аверов куча техник обнаружения и про каждую можно много чего рассказать. Так что начни с чего нибудь и у тебя появятся уже конкретные вопросы и вот с ними и возвращайся)).
Нужна будет обвязка в виде высокоуровневого языка, чтобы нормально морфить стаб, на нативе такое делать нецелесообразно. Берём Python, libclang или аналог, генерим мусор, размазываем нагрузку по коду, часть в ресурсы, часть в секции. Можно сделать проще и засунуть в ЕОФ, у кучи обычных прог есть данные в EOF и ничего, работает и не палится. Самое сложное в крипторе это загрузка PE, там есть миллион нюансов при обработке TLS, ресурсов. В винду ещё завезли active context и прочие приколюхи, там есть особенности с обработкой