Решил немного стиль поменять - теперь буду свои обзоры(мини) каждый раз новой темой обозначать, ибо все в одной теме складывать хорошо, но не юзабельно..(не прижилась эта фича здесь) так что, если кому интересны мои записки сумасшедшего %)) придецца юзать поиск или хз. как-то еще просвещацца и искать истЕну %)))
Сразу оговорюсь!: - то, что вы сейчас будите читать, писалось еще в феврале, а сталобыть инфа стара как библия, но никто еще не отменял ее актуальности для начинающих или даже для тех, кто имеет уже давно вопросы и возможно здесь найдет на них ответы
Короче, я эти февральские темные мысли привел в божеский вид и решил запостить их здесь
Теория:
При написании первого своего криптора, новички сразу же нарушают первую заповедь, которая гласит:
«Не уподобься ближнему своему»
Что это означает?, да все очень просто!
Если послать стандартную прожку(ну скажем написанную на Delphi) на virustotal.com(здесь именно этот сервис будет выступать в качестве жертвы для обхода(остальным я лично не доверяю!)), то с большой долей вероятности, некоторое количество аверов укажут на присутствие засранчика в этом сэмпле
Это и есмь великий соблазн, который заставляет слишком быстро соблазницца и стать невинным грешником
Вот тема(для примера), которая показывает на практике выше описанное:
http://wasm.ru/forum/viewtopic.php?id=34258 - Heuristic.BehavesLike.Win32.xxx
Раз аверы на стандартные проги орут, сталобыть они неудачнеки и их детект гуано
К чему это ведет?
1. Гораздо проще не разобравшись в сути проблемы(детекта), перейти на сервисы более низкого уровня и обманывать себя и окружающих мнимостью их результатов – ИМХО
2. Забить на вполне возможное создание грамотной техники обхода аверов(чич-то из-за лени, неуверенности в себе, из-за быстрых денег итд.)
3. И так как на рынке есть потребительский спрос и криптор покупают таким вот дерьмом, то нах напрягаццо
В результате мы имеем еще один гуано криптор и ежедневный "онанизм" с чистками %)))
Практика:
Там в архиве все нужные файлы, рисунки, исходники и прочая х#й[пии..]ня
Сразу скажу часть файлов сделана еще в феврале так что.. Короче кому надо разберецца че к чему.
Warning: Сэмпл естественно при осуществлении проверки/отсылки обязательно должен быть не рабочим, иначе рискуете шансом попадания его в сигнатурные базы или даже(если немного серьезный пишите криптор), то может быть создана "мини-подпрограмма" для его детекта
Шлём наш условный сэмпл на virustotal.com (мы знаем, что там ничего нет в сэмпле) и видим результат, он на рисунке 1 из архива
Хе-хе нас спалили аж нах 5 антивирусов
Наша задача сделать выдачу этого семпла по нулям
Для начала попробуем из результатов убрать святую троицу с сигной Genrojan.Heur.Hype
Здесь я покажу причину появления такой сигны в результатах, ну а тот, кто знает хорошо ПЕ формат, естественно без проблем сможет пофиксить такую траблу в своем крипторе
Весь корень зла здесь кроется в импорте %))) если в массиве строк импорта имена библиотек идут первыми, то мы и будем наблюдать в результатах именно эту сигнатуру
На рисунке PE1 из архива красным выделены имена библ, а синим имена API-функий
А на рисунке PE2 из архива показано как должно быть правильно
Для не особо видящих разницу поясню, что все дело в положении имен - вначале должны идти имена API-функий, а вслед за ними уже имя библы из которой эти API импортируются
Вот так просто эту убогую троицу мы удалим из списка %)))
AVG 9.0.0.730 2010.02.20 Injector.EZ
Тоже удаляется из списка очень просто, путем добавления в сэмпл Rich сигнатуры(тут речь идет именно о СТАНДАРТЕ, исключительные ситуации естественно НЕ учитываются, так как инфа предназначена в основном для начинающих)
Линк уже не помню, короче исходный код RichFuke.asm в архиве найдете(я сам из него ChangeRICH юзаю)
Советую изучить этот сорс, грамотно сделан – ИМХО
Еще Rich формат хорошо описан:
http://www.ntcore.com/Files/richsign.htm - Microsoft's Rich Signature (undocumented)
Еще я в архив немного обновленную версию оффлайн чекера положил, может кому и понадобится, там детек Rich сигны добавлен, MD5, чекер на упакованность, короче энтропия и все такое что облегчает предварительный анализ, чтобы постоянно не отсылать на проверку..
Теперь атака на клоунов
Разбираемся с оставшейся сигной
Symantec 20091.2.0.41 2010.02.24 Suspicious.Insight
Есть аверы которые играют на рынке "не честно", ну или вернее тех кого "на выдаче глючит"
Вот этот Symantec и есть то самое гуано-чудо, но каг говорицца на хитрую жопу всегда найдецца ху[пии..] с винтом
Что мы делаем:
Берем стандартный файлег(системный) ну к примеру write.exe(это обертка над wordpad.exe, который вызываецца при помощи ShellExecute)
И шлем на проверку, нам могут показать надпись типа такой: «Файл уже проанализирован:»
Заставляем его еще раз проверить: «Повторить анализ сейчас»
И видим что этот ахтунг(Symantec) МОЛЧИТ
Теперь берем этот write.exe и меняем в нем дату компиляции при помощи того же PE Tools
File Header->Time/Date Stamp(кнопка ...) и в поле Decoded меняем год, день итд..
Смысл здесь в том, что это поле аверами не проверяется, потому как там может стоять любая дата компиляции, а вот MD5 тем самым мы изменяем!
И отправляем опять на проверку и видим что этот ахтунг(Symantec) светит нам туже сигну Suspicious.Insight
Теперь мы знаем то уЁбище, которое нам портит стату своим детектом по MD5(у них там походу большая база MD5 разных файлов(и системных в том числе) от разных windows(ну вернее было раньше так, может сейчас что-то и изменилось) и вот, если нет такой MD5, то ставит на "подозрение")
В "аське" заказчику/клиенту предоставляем эти данные о ахтунге – такая инфа любого убедит что криптор гуд
Ну, вот как оказалось ничего страшного в этом virustotal.com нет, главное знать, как обойти их "примитивные" детекты. %)))
Сразу оговорюсь!: - то, что вы сейчас будите читать, писалось еще в феврале, а сталобыть инфа стара как библия, но никто еще не отменял ее актуальности для начинающих или даже для тех, кто имеет уже давно вопросы и возможно здесь найдет на них ответы
Короче, я эти февральские темные мысли привел в божеский вид и решил запостить их здесь
Теория:
При написании первого своего криптора, новички сразу же нарушают первую заповедь, которая гласит:
«Не уподобься ближнему своему»
Что это означает?, да все очень просто!
Если послать стандартную прожку(ну скажем написанную на Delphi) на virustotal.com(здесь именно этот сервис будет выступать в качестве жертвы для обхода(остальным я лично не доверяю!)), то с большой долей вероятности, некоторое количество аверов укажут на присутствие засранчика в этом сэмпле
Это и есмь великий соблазн, который заставляет слишком быстро соблазницца и стать невинным грешником
Вот тема(для примера), которая показывает на практике выше описанное:
http://wasm.ru/forum/viewtopic.php?id=34258 - Heuristic.BehavesLike.Win32.xxx
Раз аверы на стандартные проги орут, сталобыть они неудачнеки и их детект гуано
К чему это ведет?
1. Гораздо проще не разобравшись в сути проблемы(детекта), перейти на сервисы более низкого уровня и обманывать себя и окружающих мнимостью их результатов – ИМХО
2. Забить на вполне возможное создание грамотной техники обхода аверов(чич-то из-за лени, неуверенности в себе, из-за быстрых денег итд.)
3. И так как на рынке есть потребительский спрос и криптор покупают таким вот дерьмом, то нах напрягаццо
В результате мы имеем еще один гуано криптор и ежедневный "онанизм" с чистками %)))
Практика:
Там в архиве все нужные файлы, рисунки, исходники и прочая х#й[пии..]ня
Сразу скажу часть файлов сделана еще в феврале так что.. Короче кому надо разберецца че к чему.
Warning: Сэмпл естественно при осуществлении проверки/отсылки обязательно должен быть не рабочим, иначе рискуете шансом попадания его в сигнатурные базы или даже(если немного серьезный пишите криптор), то может быть создана "мини-подпрограмма" для его детекта
Шлём наш условный сэмпл на virustotal.com (мы знаем, что там ничего нет в сэмпле) и видим результат, он на рисунке 1 из архива
Код:
AVG 9.0.0.730 2010.02.20 Injector.EZ
BitDefender 7.2 2010.02.20 Gen:Trojan.Heur.Hype.aq0@aSK7ePf
F-Secure 9.0.15370.0 2010.02.19 Gen:Trojan.Heur.Hype.aq0@aSK7ePf
GData 19 2010.02.20 Gen:Trojan.Heur.Hype.aq0@aSK7ePf
Symantec 20091.2.0.41 2010.02.20 Suspicious.InsightНаша задача сделать выдачу этого семпла по нулям
Для начала попробуем из результатов убрать святую троицу с сигной Gen
rojan.Heur.HypeЗдесь я покажу причину появления такой сигны в результатах, ну а тот, кто знает хорошо ПЕ формат, естественно без проблем сможет пофиксить такую траблу в своем крипторе
Весь корень зла здесь кроется в импорте %))) если в массиве строк импорта имена библиотек идут первыми, то мы и будем наблюдать в результатах именно эту сигнатуру
На рисунке PE1 из архива красным выделены имена библ, а синим имена API-функий
А на рисунке PE2 из архива показано как должно быть правильно
Для не особо видящих разницу поясню, что все дело в положении имен - вначале должны идти имена API-функий, а вслед за ними уже имя библы из которой эти API импортируются
Вот так просто эту убогую троицу мы удалим из списка %)))
AVG 9.0.0.730 2010.02.20 Injector.EZ
Тоже удаляется из списка очень просто, путем добавления в сэмпл Rich сигнатуры(тут речь идет именно о СТАНДАРТЕ, исключительные ситуации естественно НЕ учитываются, так как инфа предназначена в основном для начинающих)
Линк уже не помню, короче исходный код RichFuke.asm в архиве найдете(я сам из него ChangeRICH юзаю)
Советую изучить этот сорс, грамотно сделан – ИМХО
Еще Rich формат хорошо описан:
http://www.ntcore.com/Files/richsign.htm - Microsoft's Rich Signature (undocumented)
Еще я в архив немного обновленную версию оффлайн чекера положил, может кому и понадобится, там детек Rich сигны добавлен, MD5, чекер на упакованность, короче энтропия и все такое что облегчает предварительный анализ, чтобы постоянно не отсылать на проверку..
Теперь атака на клоунов
Разбираемся с оставшейся сигной
Symantec 20091.2.0.41 2010.02.24 Suspicious.Insight
Есть аверы которые играют на рынке "не честно", ну или вернее тех кого "на выдаче глючит"
Вот этот Symantec и есть то самое гуано-чудо, но каг говорицца на хитрую жопу всегда найдецца ху[пии..] с винтом
Что мы делаем:
Берем стандартный файлег(системный) ну к примеру write.exe(это обертка над wordpad.exe, который вызываецца при помощи ShellExecute)
И шлем на проверку, нам могут показать надпись типа такой: «Файл уже проанализирован:»
Заставляем его еще раз проверить: «Повторить анализ сейчас»
И видим что этот ахтунг(Symantec) МОЛЧИТ
Теперь берем этот write.exe и меняем в нем дату компиляции при помощи того же PE Tools
File Header->Time/Date Stamp(кнопка ...) и в поле Decoded меняем год, день итд..
Смысл здесь в том, что это поле аверами не проверяется, потому как там может стоять любая дата компиляции, а вот MD5 тем самым мы изменяем!
И отправляем опять на проверку и видим что этот ахтунг(Symantec) светит нам туже сигну Suspicious.Insight
Теперь мы знаем то уЁбище, которое нам портит стату своим детектом по MD5(у них там походу большая база MD5 разных файлов(и системных в том числе) от разных windows(ну вернее было раньше так, может сейчас что-то и изменилось) и вот, если нет такой MD5, то ставит на "подозрение")
В "аське" заказчику/клиенту предоставляем эти данные о ахтунге – такая инфа любого убедит что криптор гуд
Ну, вот как оказалось ничего страшного в этом virustotal.com нет, главное знать, как обойти их "примитивные" детекты. %)))
