• XSS.stack #1 – первый литературный журнал от юзеров форума

AV VM's.. Here...

Отслеживать
demien

demien

(L2) cache
Пользователь
Регистрация
29.09.2008
Сообщения
492
Реакции
14
Я вот хз.. не знаю уже что может быть интересно людям, которые тут обитают... например переводил статью об эксплоитах... скажу чесно - много работы было проделанно, но кроме 2-ух человек даже никто отписать не соизволил. Это может означать только то, что не интересно это людям, которые тут бывают...
Хорошо, раз так, давайте пообсуждаем что-то действительно актуальное в наше время - AV VM...

Я правда не уверен, стоит ли это делать тут и под хайдом, или же не тут;) Но там как то вообще глухо...

Вообщем суть в том, чтобы делиться всем, что связанно с двигами AV VM.

Объясню на примере, когда то давно уплыл каспер 08, еще раньше нортон, кстати вот его код эмуляции CPU

// This source file contains the bulk of the CPU emulator's core routines.
// It contains routines to abstracts the CPU data structures, to interface
// with the paging system and to initialize the CPU emulator for a emulation.
// It also contains the "large switch" statement which decodes each
// instruction.

https://cryptobin.org/j4o7a936
pass: xss.pro/

причем прикол в том что это эмуль из исходников Norton AntiVirus 2006, и судя по датам в файле эмулятора проца, все последние изменения датированы 96-ым годом! т.е. с этого года по 2006 эмуль даже не трогали?)

А также например я знаю что реверсили многие дрвэбовский флай (уже же новый вышел, интересно там что-то координально изменилось?), а также мсе and etc...
Ну т.е. например мне интересна любая инфа на эту тему... Также попутно можно за антиэмули поговорить етц...
 
я думаю сейчас они врядли актуальны , лично для меня они никогда не представляли сложности - по крайней мере знаю что еще год назад каспер не умел эмулить пеб , можно было сделать что-то с last error и подобрать значение lasterror из пеба , без непосредственного вызова GetLastError, год назад они это заделали были. Как по мне это инфо неактуально.
Все-таки аверам также нужно постоянно совершенствоваться, выходят новые ос и уже техника хука sst отпала после xp, также само и их вм меняются.
Тот же антиэмулятор mss буквально за последний год очень хорошее развитие получил и с ним иногда действительно приходиться повозиться, честно говоря, у остальных ав я эмуляторы практически никогда не замечал.
 
я думаю сейчас они врядли актуальны
Фигассе ;) еще как актуальны... просто об этом не привыкли говорить "вслух"

лично для меня они никогда не представляли сложности
Дело не в сложности... дело в интересе к самим вм, к их методам и различиям,
слабым местам и тем, чем они выделяются среди других.

по крайней мере знаю что еще год назад каспер не умел эмулить пеб
Эм... а че сейчас он научился?;) сам знаю... нет!

можно было сделать что-то с last error и подобрать значение lasterror из пеба , без непосредственного вызова GetLastError
при правильном подходе это и сейчас можно заставить работать:)
другое дело в том, что например дрвэб обращение к fs сразу пукнет...

Как по мне это инфо неактуально.
Кому как;) я поэтому и создал тред, чтобы послушать тех, для кого это актуально...

Все-таки аверам также нужно постоянно совершенствоваться, выходят новые ос и уже техника хука sst отпала после xp, также само и их вм меняются.
Верно, сам говоришь что меняются, значит и нам нужно смотреть что там меняется, чтобы оперативно реагировать на их "изменения"...

Тот же антиэмулятор mss буквально за последний год очень хорошее развитие получил и с ним иногда действительно приходиться повозиться
За мсе согласен... эмуль один из лучших, но все также уязвим как и другие к некоторым вещам...

честно говоря, у остальных ав я эмуляторы практически никогда не замечал.
Дело в том что уже лет как 10 ав без эмуля вообще - ав назвать трудно даже с натяжкой...
Эмуль есть у всех, но вот у большинства его качество оставляет желать лучшего...


p.s. суть такова что все же это интересно и при правильном подходе страниц на 10 можно разнести демогогии а также хотелось бы чего-нить "интересного" пощупать...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Инди недавно запилил какой-то универсальный Anti VM, я его не смотрел, на васме где-то в "вирусологии" обсуждается. Если надо, найду точную ссылку.
 
demien,так все равно мало сурсов то...
всего лишь каспера да нортона,а остальные есть в инете же (имею в виду простые аверы,не уровня корпоративных продуктов).
 
требует сообщений 50 у вас 34
там и правдо чтото преватное за 7 печатями?
 
не особо... по сути все паблик, цель хайда скорее - не привлекать "не нужные"
сами понимаете кого я имею ввиду :)
взгляды.

во первых хорошо когда все собранно в одном месте, во вторых можно пообсуждать, к тому же может у кого есть еще чем поделиться...
 
Эм... а че сейчас он научился? сам знаю... нет!
Покажи скрин среды эмулятора у Касперского, интересно просмотреть!

А также например я знаю что реверсили многие дрвэбовский флай (уже же новый вышел, интересно там что-то координально изменилось?), а также мсе and etc...
Ничего не изменилось. Как был фиговым, так и остался.

побуждаю продолжать в таком духе..)
А что продолжать-то ?
Кроме Касперского там дельных ав нету, да и у Касперского сорцы - старьё.

Ну т.е. например мне интересна любая инфа на эту тему... Также попутно можно за антиэмули поговорить етц...
Надо выбрать любой ав и реверсить вместе.
 
Покажи скрин среды эмулятора у Касперского, интересно просмотреть!

я его не реверсил, но конретно в моем случае тема с пеб работает на ура, хотя это и не GetLastError.

Ничего не изменилось. Как был фиговым, так и остался.

Че-то я так и думал;)

А что продолжать-то ?
Кроме Касперского там дельных ав нету, да и у Касперского сорцы - старьё.

Если у кого че есть интересное выложить.. имелось ввиду.

Надо выбрать любой ав и реверсить вместе.

После некоторых событий за "вместе"я оч сильно сомневаюсь...
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх