Снятие рантайм детекта?

[goingHeavenTogether]

1) Как происходит рантайм детект? Антивирус запускает программу, делает дамп, хеширует его и ищет хеш по своей базе?

2) можно ли снять рантайм детект отредактировав код программы (поменять имена переменным и функциям, добавить мусорную активность)?

В вопросах может быть шиза. Я новичок.

 

[zerax]

Ищет сигнатуры в памяти, обычно даже у закриптованной малвари которая расшифровывается в памяти в какой то момент находятся сигнатуры криптора или самого вредоноса. Ну и анализирует поведение, если слишком интенсивно вызываются подозрительные функции то ав останавливает выполнение, поэтому можно размазать райнтайм на длительное время выполняя одну функцию в минуту

 

[Dota2]

1) How does runtime detection work? Does the antivirus launch the program, make a dump, hash it and search for the hash in its database?

2) Is it possible to remove runtime detection by editing the program code (change the names of variables and functions, add garbage activity)?

The questions may be crazy. I'm a newbie.

the AV's and EDR's have many ways to detect in runtime and not all do same strategy's that's why when we do encryption we test it against the targeted EDR/AV
it do monitor the program behavior ( registry checks , file operations , network activity's , suspicious memory allocation , actions of process ) and database searching so it's not few common methods you should be creative to hide your self

 

[Quake3]

1. запускает софт, делает дамп памяти, смотрит по сигнатурам. Далее смотрит активность, начисляя баллы. Вида - софт лезет в реестр в ключи run/runonce/etc - +1 . Софт лезет в инет на левые домены - еще +1; и так далее, по итогам если софт набирает Х баллов, он блочится авером.
2. чтобы менять, надо понимать что и как менять. Т.е. на что идет палево , на какое действие.

 

[DarkMatter]

You may add some clean junk codes and size pump, also add network disconnect on file execution for 5 seconds inside the file src code