Пока что на ум приходит определение кол-ва видеопамяти и запуск только если к примеру памяти больше 2 гб, а как еще можно обезопасить свою программу от сканеров и подобных
-
XSS.stack #1 – первый литературный журнал от юзеров форума
какие есть способы обойти VT и похожие сайты для сканов
- Автор темы SKRASH
- Дата начала
Проверяя песочницы, доступные на VT (которые в отчетах предоставляют скриншоты, естественно), я заметил что количество уникальных процессов (с уникальным именем образа) не превышает 70-80. Иногда даже намного меньше (на tria.ge их 30-50). К слову, на моей системе после запуска их 90-100, не знаю, это вполне можно использовать как часть детекта песка.
- Автор темы
- Добавить закладку
- #3
а сама идея с проверкой видеопамяти является хорошей? или это не поможет
Можно сделать так:
- Написать программу, которая будет собирать максимум инфы об енвиронменте, в котором она запускается, и отсылать эту инфу тебе
- Залить эту программу на virustotal, который запустит его в максимальном количестве песочниц
- На основании полученных данных делать свои "обходы" VT =)
Тема очень стара
Поищите, информации достаточно
Способов определения ВМ довольно много, не все из них универсальные, но в комплексе хорошо играют
Тут важно понимать, что сама попытка определить песочницу самыми распространенными способами(например, по именам процессов) также является флагом для АВ
Я также рекомендую не завершать процесс при обнаружении песочницы, а имитировать поведение легальной программы, например рисовать окно установки, дропать легальные файлы и тд
Конечно, если вы криптуете файл за 5 баксов, то мало что может спасти от маркировки файла как вируса, но антивм поможет на какое то время скрыть ваши сервера
Поищите, информации достаточно
Способов определения ВМ довольно много, не все из них универсальные, но в комплексе хорошо играют
Тут важно понимать, что сама попытка определить песочницу самыми распространенными способами(например, по именам процессов) также является флагом для АВ
Я также рекомендую не завершать процесс при обнаружении песочницы, а имитировать поведение легальной программы, например рисовать окно установки, дропать легальные файлы и тд
Конечно, если вы криптуете файл за 5 баксов, то мало что может спасти от маркировки файла как вируса, но антивм поможет на какое то время скрыть ваши сервера