Снова всем привет.
Сегодня я расскажу, что анти эмулятор уже не нужен. Так как если сделать правильный код ав может его вообще не раскручивать. Мы как бы будем прятаться от ав. Каждый билд будет действительно уникальный. Правда код должен быть очень высокого качества.
Начинающие криптора думают что билд уникален, если он удовлетворяет нескольким критериям:
1. У каждого стаба уник сигнатуры
2. У каждого стаба уник вызовы апи
3. У каждого стаба уник анти эмуль
4. Энтропия скачет в дозволенных приделах
А хрен вам!!! Это всего лишь частичная уникальность
Настоящяя уникальность включает в себя, так же правильные распределения в криптоанализе. В CryptTool важные графы это гистограмма и плавающяя частота.
Сразу на примере разберем. Возьмем того же кази. И энтропия правильная 5-7, и уник вызовы апи, и уник сигнатура, и гистограмма как у правильных файлов. А все равно палит. А знаете как ?
По частотным характеристикам. Если взять обычный рандом и хорить им каждый байт, после этого посмотреть floating frequncy она примерно будет всегда в одном и том же диапазоне с высокой энтропией. Ну разбавить не проблема, а как же быть частотой ?
А вот тут надо что то изобретать Что именно писать не буду. Но задача главная чтобы частотные характеристики менялись от файла к файлу. И если вы это сделаете, то у вас будет следующее.
Антивирусы вдруг перестанут орать на ваш файл, причем они могли орать на анти эмуль, если брать каспера. И вдруг перестанут Потому что только в этом случае,ваш файл становится полностью уникальным. Только не забываем, что частота считается вместе с ПЕ хедером. Поэтому михрютка и говорил, что меняя оффсеты детект пропадал.
Вот так вот ребята Если не хотите делать чистки раз в 3 дня, а написать криптор и забыть про чистки, как многие про говорят: раньше можно было а сейчас... Просто копните глубже и будет счастье
И не забываем: Per aspera ad Astra
Сегодня я расскажу, что анти эмулятор уже не нужен. Так как если сделать правильный код ав может его вообще не раскручивать. Мы как бы будем прятаться от ав. Каждый билд будет действительно уникальный. Правда код должен быть очень высокого качества.
Начинающие криптора думают что билд уникален, если он удовлетворяет нескольким критериям:
1. У каждого стаба уник сигнатуры
2. У каждого стаба уник вызовы апи
3. У каждого стаба уник анти эмуль
4. Энтропия скачет в дозволенных приделах
А хрен вам!!! Это всего лишь частичная уникальность
Настоящяя уникальность включает в себя, так же правильные распределения в криптоанализе. В CryptTool важные графы это гистограмма и плавающяя частота.
Сразу на примере разберем. Возьмем того же кази. И энтропия правильная 5-7, и уник вызовы апи, и уник сигнатура, и гистограмма как у правильных файлов. А все равно палит. А знаете как ?
По частотным характеристикам. Если взять обычный рандом и хорить им каждый байт, после этого посмотреть floating frequncy она примерно будет всегда в одном и том же диапазоне с высокой энтропией. Ну разбавить не проблема, а как же быть частотой ?
А вот тут надо что то изобретать
Что именно писать не буду. Но задача главная чтобы частотные характеристики менялись от файла к файлу. И если вы это сделаете, то у вас будет следующее.Антивирусы вдруг перестанут орать на ваш файл, причем они могли орать на анти эмуль, если брать каспера. И вдруг перестанут
Потому что только в этом случае,ваш файл становится полностью уникальным. Только не забываем, что частота считается вместе с ПЕ хедером. Поэтому михрютка и говорил, что меняя оффсеты детект пропадал.Вот так вот ребята
Если не хотите делать чистки раз в 3 дня, а написать криптор и забыть про чистки, как многие про говорят: раньше можно было а сейчас... Просто копните глубже и будет счастье И не забываем: Per aspera ad Astra
