Anti Kaspersky

[xqwerx]

Этота тема является дополнением к ЭТОМУ посту!!!
Anti Kaspersky:
Скрин:
http://www.joiner.xss.pro/crypt/ris4.png
Характеристика:
-По идеи это не криптор, а просто программка, которая юзает уязвимость эврестика KASPERSK-ого. Ничего не шифрует и не криптует!
-Написана на чистом Assemblere.
-Размер файла не увеличивает.
-Работает c НЕУПАКОВАННЫМИ ФАЙЛАМИ,т.к. New EntryPoint - всегда постоянен!

Скачать архив AntiKaspersky + Source (pass = xss.pro/)

 

[Amper]

Спасибо... то, что надо... )

 

[MekJack]

Я слабо знаком с asmом и не особо в курсе про PE заголовки, видимо поэтому у меня в голове никак не уложится( уже который час ), что самый популярный в России антивирус так лёгенько обходится, что вообще могут быть такие ошибки в серьёзном ПО. Можете мне проще расстолковать как такое может быть? И вообще как быстро это смогут исправить( оценка... )?

 

[madde]

делит

раз не надо рассказывать, значит не надо

 

[Spawn™]

а я бы не раскрывал сикрет обхода каспера.. прога есть и хватит.. а подробно рассказывать что к чему .. это лишне..

к тому же агенты каспера повсюду.. они как и ктулху зохватяд фсех

 

[xqwerx]

Расскажу некоторые мои замечания и примечания:

если в PE-заголовок положить просто код:

mov eax, OEP; оригинальная EntryPoint
jmp eax

То каспереский сразу определяет вирус, наверное легко эмулирует данные простые команды...Пишет что Pe-Patch ...

Но если чуть усложнить, то каспер сразу замолкает!самый простой пример кода, который кстати и прописывает прога в расположеная для скачивания в этой теме, такой:

pushad; дабавили команду сохранения регистров
mov eax, OEP; оригинальная EntryPoint
jmp eax

антивирус определяет точку входа в программу, и альше по своим сигнантурам смотрит, вирус ли это, а посколкьо вход как то меняется... чисто теоритичеси хнаю он встает в тупик и говорит что нет, нифига)) фаил добрый и пушистый

Да серьезная проблема эмуляции Касперского...

у меня в голове никак не уложится( уже который час ), что самый популярный в России антивирус так лёгенько обходится, что вообще могут быть такие ошибки в серьёзном ПО. Можете мне проще расстолковать как такое может быть? И вообще как быстро это смогут исправить( оценка... )?

Открою секрет - я около уже ГОДА юзал данную уязвимость в своих целях (не комерческих!) ... и на все что умудрялись Касперские специалисты заносить в базу сигны начального кода - который эмулировался и мой вирус детектился, но стоило мне чуть модифицировать код добавить простенькую ненужную инструкцию - все ОК!!! Так что выводы за вами...

P.S. Российские Антивирусные продукты показывают не очень высокие, а порой и вообще низкие результаты... Моя оценка времени когда бага будет профиксина - Это зависит от того - получит ли распрастранение прога да и сам метод (поэтому прогу и выложил в ХАЛЯВЕ, недоступной каждому)А как будет? покажет время... а потом дружно посмеёмся... :baby:

 

[MekJack]

понятно,
Кстати выложил то ты в халяве, но ведь и статью весьма подробную в паблик положил) И вообще мне интересно, ведь наверняка хорошие компании работающие с вирусами.и.т.п. наверняка должны иметь акки в прикрытых разделах многих извсетных сайтов этой тематики( как DL )

 

[Sanchous]

наверняка должны иметь акки в прикрытых разделах

Просто тут не один прикрытый раздел :baby:

статью весьма подробную в паблик положил

Это да - кому надо, доступ в халяву имют и тут её почитают, а там почитают люди... м, далекие от кодинга на ассамблере и сотрудники компаний, разрабатывающих антивирусное ПО...

 

[Namelles One]

Хмммм...

Товарищи...

Я конечно все понимаю, но я седня обновил своего 6 Касперыча, криптанул файлик, проверил и.... Спалился данный криптор, как нефиг делать спалился...

 

[Robin Gud]

Я конечно все понимаю, но я седня обновил своего 6 Касперыча, криптанул файлик, проверил и.... Спалился данный криптор, как нефиг делать спалился...

Положение спасают сорцы...потом выложу подправленный криптор

 

[MekJack]

Думание за всем следят всё - таки, слишком очевидная эта тема, теперь мб займутся они этим вопросом, ибо серьёзный "недочёт" в программе..

 

[xqwerx]

Я конечно все понимаю, но я седня обновил своего 6 Касперыча, криптанул файлик, проверил и.... Спалился данный криптор, как нефиг делать спалился...

Залез сегодня в нет, обновил каспера 6.0 (22:00) - проверил "криптовку" на том,что под руку попалось (pinch - netbuz1.7)... Каспер вроде молчит..
P.S. ХЗ

 

[Namelles One]

Беру древний эксплойт - RPC с Гуем...
Палится всем чем только можно...

Криптую...

И на выходе -
"обнаружено: вирус Type_Win32 (модификация) Файл: *****\RPC GUI v2 - r3L4x\RPC GUI v2 - r3L4x.exe"


Вот вам и 6 Касперский...

 

[xqwerx]

Namelles One - Возможно твой файл чем-то упакован!!! Если к примеру (pinch - netbuz1.7) упаковать UPXом то ты прав Каспер ругается как "обнаружено: вирус Type_Win32 (модификация)"

P.S. До лаборатории Касперского крипт пока не дошел...

 

[RaMMs+eiN]

xqwerx
Зачем PUSHAD, и где POPAD?

т.к. New EntryPoint - всегда постоянен!

Поясни

Касперский распознает файлы как

Вирус (модификация):
Type_Win32

Потому что EntryPoint у них не находится в секции

 

[xqwerx]

Эх не хотелось повторяться.
Если в PE-заголовок положить просто код:

mov eax, OEP; оригинальная EntryPoint
jmp eax

То каспереский сразу определяет вирус, наверное легко эмулирует данные простые команды...Пишет что Pe-Patch ... Вирус (модификация)ype_Win32

Но если чуть усложнить, то каспер сразу замолкает!самый простой пример кода, который кстати и прописывает прога в расположеная для скачивания в этой теме, такой:

pushad; дабавили команду сохранения регистров
mov eax, OEP; оригинальная EntryPoint
jmp eax

Следовательно просто обойти антивирь... А про POPAD - можно забыть, т.к. программа только начинает работать и если не извлекать сохраненые регистры ничего страшного не произойдет...

New EntryPoint постоянна,т.е. криптер постоянно ставит точку входа в файле по одному и тому же адресу, в проге 0x3b0.

P.E. повторяюсь крипт работает только с неупаковаными файлами, тогда каспер не пишет про иньекцию в PE-заголовок.

 

[RaMMs+eiN]

Не согласен

А про POPAD - можно забыть, т.к. программа только начинает работать и если не извлекать сохраненые регистры ничего страшного не произойдет...

Вот пример хелло ворлда
http://rapidshare.de/files/36880241/Hello_World.rar
Когда "криптуешь" его АнтиКасперским, касперский молчит, но прога в конце вылетяет
Если добавить POPAD, все прекрасно работает

P.E. повторяюсь крипт работает только с неупаковаными файлами, тогда каспер не пишет про иньекцию в PE-заголовок.

Вот еще один хелло ворлд с интерфейсом
http://rapidshare.de/files/36880508/Hello_World_GUI.rar
Когда "криптуешь" его АнтиКасперским, касперский ругается, что фаил:
Вирус (модификация):
Type_Win32
Этот хелло ворлд не вылетает, потому что юзает ExitProcess при завершение

 

[xqwerx]

но прога в конце вылетяет

Не знаю. Сколько работал такой проблемы не встречал, может быть потому что всегда юзал ExitProcess

 

[GZip]

Прога кулл... заюзал круто! Сначала криптор которые скрывает сё кроме каспера+ антикасперский= полный набор! =)