Different Programming Languages and Libraries in Malware Builder Detection

[bubblebee]

Good day,

1- Whether you build your malware (assuming it's a stealer) on C C++ / rust / python, does this affect it being detected by Antivirus.

2- Does using external libraries or no libraries make any difference at the end result for detection?

For 1 and 2 assume i will still use a crypter on top of these optimizations.

 

[voldemort]

1- Whether you build your malware (assuming it's a stealer) on C C++ / rust / python, does this affect it being detected by Antivirus.

Что касается языков программирования, то нет однозначного ответа — можно использовать любой язык, который вам нравится, но некоторые языки лучше подходят для разных задач. Если вам нужно больше контроля и высокая производительность, вы можете выбрать C/C++, Rust или Zig — ваш скомпилированный бинарник будет исполняться как нативный код на целевой системе.
Код на Python, например, требует интерпретатора Python для выполнения, и у вас не будет много контроля. Это не проблема, потому что, например, если вы нацелены на Linux, почти все дистрибутивы уже имеют установленный интерпретатор Python.
Краткий ответ: всё зависит от ситуации и ваших целей. Если вы начинающий, начните с Python и постепенно переходите к низкоуровневым языкам. Сначала практика, потом теория.

2- Does using external libraries or no libraries make any difference at the end result for detection?

В какой-то степени да, потому что ваш код компилируется статически (код из этих библиотек включается непосредственно в ваш бинарник), и если "антивирусы/системы защиты от вторжений" распознают определённую библиотеку как использующуюся в каких-то вредоносных действиях, ваше программное обеспечение может быть помечено или обнаружено по сигнатуре. Поэтому лучше использовать меньше зависимостей или вовсе не использовать их, а использовать только стандартную библиотеку.

For 1 and 2 assume i will still use a crypter on top of these optimizations.

Криптеры используются для защиты исполнимого файла от статического обнаружения. Как только криптер загружается, оригинальный код расшифровывается в памяти. Современные AV/EDR также сканируют память, поэтому если вредоносное ПО написано неправильно, оно будет обнаружено во время выполнения, и AV/EDR, скорее всего, завершит вредоносный процесс.