Привет всем. Снова появилось желание написать статью. В этот раз это больше ответы по крипту файлов, нежели что то зеро дейное.
Мне часто пишут, просят обьяснить почему после моего крипта у некоторых файл палица уже после не которых часов, а у других держится 7-8 суток.
И так. Начнем с простого. Существеют два типа детекта, статический и динамический. Статических детек просто посмотреть, это скармить ваш файл какому нибудь сканеру типа virtest.com,scan4you,sck4me,... и посмотреть. Второй тип это уже непосредственно работа вашей программы, уже после запуска.
Ну как пример, если вы воспользуетесь OpenProcess, из своего недовереного процесса, то выскочет алерт. Это и есть динамический детект. Вот почему так важно писать качественный софт, с обходами. Во первых даст больше отстук, во вторых, крипт может держатся явно дольше. Ведь как только вас поймали на динамике или статике, то в зависимости от типа ав, вашего зверька сразу или со следующим апдейтом баз, отправляют в аверам на операционный стол.
Криптеры обеспечивают защиту от статического детекта, динамику прикручивать уже надо вам, иначе стаб будет очень большой. Поэтому сразу понятно, почему Зевс держится 2-6 часов. А спай сутками. Тупо нет обходов.
Но тут тоже не все гладко, есть вещи от которых уже не мы (крипторы) не ваш мега софт не зависим. Это конечно загрузчики. Мало того что многих мониторят сервера ав конторы, поэтому не редкость, когда загрузов не было, но файл вы дали загрузчику и тот спалился. Многие инсталеры поступают вообще грязно,тупо кормят на виртест ваш файл и после грузят. Что это дает ? Ну ваш файл быстро спалица, и с компа юзера его тоже быстро удалят. Инсnалер сможет снова туда запихнуть уже новые инсталы, тупо дольше проживет машина. Ведь рано или позно это заканчивается переустановкой винды. Поэтому тут просто надо у разных людей грузить
и смотреть, как долго живут боты, если на следующий день ботов мало,а у вас норм софт, значит траф говно. Просто было одни момент смешно даже,мой лоадер живет в системе неделями, а тут на следующий день после прогруза, почти ничего не осталось, а человек стучит и говорит может еще подгрузить ? smile.gif
Ну хорошо, если селлер инсталов все делает качественно, все таки нашелся такой smile.gif И крипт на статике идеален, и у вас динамика(обходы) прекрасна, но вы даже не подгрузили, а уже палево. Этот кстате вопрос самый частый.
Ответ прост как никогда. Антивирусы следят за порядком вызова апи. Многие криптеры тупо ставят антиэмульную функу и пока ничего нигде не палица криптуют.
Что это дает ? А дает это следующее, криптеру не приходится ломать голову. Ведь для качественого крипта цепочки вызова апи должны быть уникальны, на каждом стабе.
Он быстро масово криптует, а потом когда палица вставляет некую функу до этой и снова все чисто. И так может идти долго. Что это дает покупателю ?
Да все просто ваш файл не подгрузили он тупо провалялся у вас на десктопе, а уже на статике палица. Ведь избавится от сигнатур очень легко, а вот уже от евристике сложнее.
Поэтому качественный крипт это еще и уникальный порядок вызовов. А тут уже надо проводить большие тесты, ведь у ав как. Никто не палит, а вба32 не нравится или другой ав орет. Поэтому тесты обычно проводятся со всеми ав.
Как понятно с вызовами, это реальный геморой, все конечно можно автоматезировать. А как иначе с тысячами фунок работать, но все эе лучше вообще обойтись без функций. Вот это реально дает качество и на долго. Только самое важное все очень хорошо обфусцировать.
Вот и все smile.gif Надеюсь помог многим новичкам.
Мне часто пишут, просят обьяснить почему после моего крипта у некоторых файл палица уже после не которых часов, а у других держится 7-8 суток.
И так. Начнем с простого. Существеют два типа детекта, статический и динамический. Статических детек просто посмотреть, это скармить ваш файл какому нибудь сканеру типа virtest.com,scan4you,sck4me,... и посмотреть. Второй тип это уже непосредственно работа вашей программы, уже после запуска.
Ну как пример, если вы воспользуетесь OpenProcess, из своего недовереного процесса, то выскочет алерт. Это и есть динамический детект. Вот почему так важно писать качественный софт, с обходами. Во первых даст больше отстук, во вторых, крипт может держатся явно дольше. Ведь как только вас поймали на динамике или статике, то в зависимости от типа ав, вашего зверька сразу или со следующим апдейтом баз, отправляют в аверам на операционный стол.
Криптеры обеспечивают защиту от статического детекта, динамику прикручивать уже надо вам, иначе стаб будет очень большой. Поэтому сразу понятно, почему Зевс держится 2-6 часов. А спай сутками. Тупо нет обходов.
Но тут тоже не все гладко, есть вещи от которых уже не мы (крипторы) не ваш мега софт не зависим. Это конечно загрузчики. Мало того что многих мониторят сервера ав конторы, поэтому не редкость, когда загрузов не было, но файл вы дали загрузчику и тот спалился. Многие инсталеры поступают вообще грязно,тупо кормят на виртест ваш файл и после грузят. Что это дает ? Ну ваш файл быстро спалица, и с компа юзера его тоже быстро удалят. Инсnалер сможет снова туда запихнуть уже новые инсталы, тупо дольше проживет машина. Ведь рано или позно это заканчивается переустановкой винды. Поэтому тут просто надо у разных людей грузить
и смотреть, как долго живут боты, если на следующий день ботов мало,а у вас норм софт, значит траф говно. Просто было одни момент смешно даже,мой лоадер живет в системе неделями, а тут на следующий день после прогруза, почти ничего не осталось, а человек стучит и говорит может еще подгрузить ? smile.gif
Ну хорошо, если селлер инсталов все делает качественно, все таки нашелся такой smile.gif И крипт на статике идеален, и у вас динамика(обходы) прекрасна, но вы даже не подгрузили, а уже палево. Этот кстате вопрос самый частый.
Ответ прост как никогда. Антивирусы следят за порядком вызова апи. Многие криптеры тупо ставят антиэмульную функу и пока ничего нигде не палица криптуют.
Что это дает ? А дает это следующее, криптеру не приходится ломать голову. Ведь для качественого крипта цепочки вызова апи должны быть уникальны, на каждом стабе.
Он быстро масово криптует, а потом когда палица вставляет некую функу до этой и снова все чисто. И так может идти долго. Что это дает покупателю ?
Да все просто ваш файл не подгрузили он тупо провалялся у вас на десктопе, а уже на статике палица. Ведь избавится от сигнатур очень легко, а вот уже от евристике сложнее.
Поэтому качественный крипт это еще и уникальный порядок вызовов. А тут уже надо проводить большие тесты, ведь у ав как. Никто не палит, а вба32 не нравится или другой ав орет. Поэтому тесты обычно проводятся со всеми ав.
Как понятно с вызовами, это реальный геморой, все конечно можно автоматезировать. А как иначе с тысячами фунок работать, но все эе лучше вообще обойтись без функций. Вот это реально дает качество и на долго. Только самое важное все очень хорошо обфусцировать.
Вот и все smile.gif Надеюсь помог многим новичкам.
