Разбор детекта Kazy от Bitdefender'a

[porky365]

Большие циклы брута скорее всего будут воспринят так же как крипт, т.е. плохо,
но думаю можно разбавить цикл мусором или псевдо полезным кодом,
большой плюс брута я думаю в отсутсвии ключа как такового.

Бессмысленно. :crazy:

 

[demien]

Если мне не изменяет логика, то брутфорс потребует некоторого времени и будет почти идентичен той самой задержке? Имеет ли тогда это смысл, если

думаю имеет, скорость поиска верного ключа займет ровно столько времени, какой длины будет ключ, если сильно не нагружать брутер, то это дело нескольких млс. другое дело что брут это сам по себе бесконечный цикл для ав, а как минимум нод их не любит, т.к. в обычных прогах не должно быть бесконечных лупов. стало быть в любом случае к брутера нужно добавлять антиэмуляцию, или как вариант в коде брутера использовать комманды, которые не эмулируются (SSE / MMX2 / KNI).

Большие циклы брута скорее всего будут воспринят так же как крипт, т.е. плохо,
но думаю можно разбавить цикл мусором или псевдо полезным кодом,
большой плюс брута я думаю в отсутсвии ключа как такового.

если брать в корень только отсутствие ключа, то результат можно сверять с хэшом ключа, что тоже будет свидетельствовать о его отсутствии как таковом...

через 1- 2 гда уже и новая винда будет

х#йней не страдайте юзайте апи

если задумываться над тем, что будет через пару лет можно с ума сойти, так что используем подручные средства, как советует porky365 апи, ссе и др. что есть на данный момент

 

[Chococream]

porky365

Через 1- 2 гда уже и новая винда будет.

Какой вообще смысл юзать апи, когда их каждый день(как по часам) детектят(а все не эмулируют, т.к надо на что-то жить).

*уйней не страдайте - юзайте апи.

Страдаем как раз в это случае не мы.

Всё, что так или иначе приходит на ум - изврат и временное решение, а я люблю делать только постоянные и стабильные.
porky365 Докажешь обратное ?

Бессмысленно.

Я тебе могу привести миллионы вариантов с задержками, какие только могут прийти на ум.
Год назад(кажется) делал криптор(простенький с инжектом в новый процесс) - вот можешь посмотреть сэмпл:

Спойлер: 5

http://www.sendspace.com/file/6w41x4

(в лс могу скинуть(если интересно) вариант с антиэмулем).
demien в своём посте всё правильно сказал, ключ - время.

 

[porky365]

Согласен со временем самое действенное, но это все время занимает, для моих клиентов пока что это критично.

 

[demien]

вопрос ко всем... можно ли написать полноценную функу задержки без апишек вообще (без слипов, геттиккаунтов, сэттаймеров и т.д.)?

 

[Barack]

на чистых асм инструкциях - загрузка процесса 99%, попробуй что-то типа :
KUSER_SHARED_DATA на всех виндах адрес одинаковый, считывай первое поле в цикле , но временами вызывая sleep(0), чтобы отдавать процессорное время другим потокам. Можно предварительно понизить приоритет своего потока до минимального. Вообщем тут нужно поэкспериментировать.
И еще смотря что у тебя в понятии без апишек - все сводиться к >ZwDelayExecution>sysenter - можешь тупо прерывания делать вручную.

 

[Chococream]

demien

вопрос ко всем... можно ли написать полноценную функу задержки без апишек вообще (без слипов, геттиккаунтов, сэттаймеров и т.д.)?

В порядке бреда:
Пишешь функу, которая будет выполнять полезное действие(брут, подбор ключа). Затем замеряешь при помощи тех же асм-команд время выполнения выбранного тобою блока(курить в сторону rdtsc). Далее зависит от фантазии, можно к примеру написать макрос, который будет добавлять к блоку дополнительный цикл, тем самым увеличивая задержку.

Вот ещё взял с васма:
Оригинал: viewtopic.php?id=15235&p=1
Ещё почитать: viewtopic.php?id=38613

1. Сними значение rdtsc
2. Вызови Sleep(1)
3. Сними значение rdtsc
Разность между значениями "после" и "до" вызова rdtsc считай равной количеству тактов за 1 миллисекунду (лучше повторить несколько раз и аппроксимировать на случай возможных DPC, APC и прочего).
Потом делай cli, в ecx клади количество тактов на нужное число микросекунд и выполняй команду в цикле (между регистрами например погоняй что-нибудь). А потом sti есессено не забудь вызвать.
Должно по идее получиться (чем больше количество тестовых шагов 1,2,3 повторишь, тем точнее будет)

 

[demien]

первые три пункта можно ведь заменить fwait ?

(FWAIT is an alternate mnemonic for the WAIT). This instruction is useful for synchronizing exceptions in critical sections of code

 

[accelerator]

Chococream
rdtsc зависит от вендора CPU.

 

[Chococream]

accelerator

rdtsc зависит от вендора CPU.

И не только от него

А по теме:
Всё равно так или иначе цикл будет грузить процессор, что неприемлимо.
Помимо задержки на асм-командах, попробуй понапичкать в код false-апи вызовов(можно даже рандомизировать их).

 

[porky365]

Помимо задержки на асм-командах, попробуй понапичкать в код false-апи вызовов(можно даже рандомизировать их).

Тут еще важно пичкать в нужной последовательности иначе спалит по порядку вызовов.