Нужно переписать софт чтобы обходил проактивку
без потери работоспособности.
Пожалуйста если есть такие умельца напишите в ЛС.
без потери работоспособности.
Пожалуйста если есть такие умельца напишите в ЛС.
Проактивка
- Автор темы Z17
- Дата начала
На чем написан софт и какую проактивку надо обходить?
- Автор темы
- Добавить закладку
- #3
pascal
delphi
delphi
- Автор темы
- Добавить закладку
- #4
Проактивка "Kaspersky KRYSTAL 12" и "интернет секюрети 2013" --- это только на них тестилось... на остальных антивирях не проверялось... палится как "PDM.Trojan.generic" либо "HEUR
rojan.win32.generic"
rojan.win32.generic"
PDM.Trojan.generic - реакция на поведение, т.е. что-то дропается на хард, что-то пишется в реестр етц.
HEURrojan.win32.generic - это скорее всего детектит то, что дропается, т.е. нужно вытаскивать и отдельно криптить, после чего внедрять обратно.
HEUR
rojan.win32.generic - это скорее всего детектит то, что дропается, т.е. нужно вытаскивать и отдельно криптить, после чего внедрять обратно.- Автор темы
- Добавить закладку
- #6
Из тестирования частей кода я понял что он детектит момент копирования самого себя в папку "Autorun"... Надо закриптить именно этот код копирования???? Или копирование реальзовать другим способом не слишком примитивным??
Это через чур важный момент что бы файл запускался при старте Windows...
P.S функционал программы не нарушает работы системы...
Да и еще забыл отметить то, что дропается то оно дропается, но когда в другие папки дропается антивирь не орет, а вот когда в реестре путь на запуск добавляешь или в папку startup то сразу верещит
Это через чур важный момент что бы файл запускался при старте Windows...
P.S функционал программы не нарушает работы системы...
Да и еще забыл отметить то, что дропается то оно дропается, но когда в другие папки дропается антивирь не орет, а вот когда в реестре путь на запуск добавляешь или в папку startup то сразу верещит
Нужно не криптовать этот код, а изменить логику работы зверушки. Т.е. найти пути изащреннее и эксперементировать.
В этом и есть суть проактивки... отслеживание "подозрительных" действий и извещение пользователя об этом...
- Автор темы
- Добавить закладку
- #8
Хорошо изащреннее значит надо однозначно забыть про существование функции "CopyFile(pchar(ParamStr(0)),pchar(c:\Users\usename\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\file.exe'),true);" и использовать изащренный аналог ? я верно понял?
Я хз как сейчас обстоят дела у каспа с проактивкой, но курите в подобные стороны, например:
Если не поможет, делайте инжект в доверенный процесс, который и запишет в реестр вашу запись, хотя не факт что сам инжект не спалится...
Код:
<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\C2F9078F88E6680F7000.exe,'Если не поможет, делайте инжект в доверенный процесс, который и запишет в реестр вашу запись, хотя не факт что сам инжект не спалится...
- Автор темы
- Добавить закладку
- #10
А как насчет создать файл в папке автозапуска и затем перезаписать в него собственный байт код и в конце изменить расширение на *.exe.... получится типа заражения файла.... по крайней мере он мне позволил создать файл в папке startup и поменять ему расширение на *.exe....
Как вы думаете возможен ли такой способ???
Опять ничего не вышло(
Буду пробывать инжектица..
Как вы думаете возможен ли такой способ???
Опять ничего не вышло(
Буду пробывать инжектица..
Заражайте какой нить файл, который однозначно присутствует во всех виндах и запускается с системой. В простейшем случае нужно дописаться в конец файла (добавляем новую секцию), переправить EP на дописанный буфер. В буфере заранее сохранять куда нибудь в заголовок OEP (оригинальную точку входа) и после выполнения вредоноса прыгать на OEP.
demien
Здесь есть проблемы. Во-первых примитивные техники инфекта PE образов не очень помогают, так как эмулятор пройдет до пейлоада и по нему сигнатуры проверять, не говоря уже, что на большинство распространенных способах инфекта есть соответствующие эвристики (на EP в последней секции точно есть =) ). Плюс к этому системные файлы не заразишь - тупо прав не хватит если нет возможности обойти UAC, а заражение пользовательских файлов - игра в рулетку. Впрочем это все в теории, я не проверял.
В любом случае общая процедура обхода проактивки заключается в том, что необходимо оказаться в адресном пространстве доверенного процесса, и уже оттуда делать действия которые контролируются проактивкой - инжект, инфект, всякие уязвимости (dll hijanking, bof, etc), буткиты, системные возможности (авто подгрузка всяческих COM объектов и тд), непрямые вызовы (RPC, LPC, COM) и тд. Необходимо тем или иным способом найти метод который не контролируется проактивкой и доступен с теми правами, которые у вас будут (UAC, не администраторские учетки).
К сожалению простого способа сделать это не существует, только постоянный поиск и практика сможет принести вам результат, тем более все что вы сможете найти в паблике уже устарело и не работает с самыми распространенными защитами.
С другой стороны можно просто не делать того, что не нравится проактивке, либо просто забить на это - судя по всему даже палящийся на действиях бот будет отстукивать, но конечно с меньшим процентом.
Здесь есть проблемы. Во-первых примитивные техники инфекта PE образов не очень помогают, так как эмулятор пройдет до пейлоада и по нему сигнатуры проверять, не говоря уже, что на большинство распространенных способах инфекта есть соответствующие эвристики (на EP в последней секции точно есть =) ). Плюс к этому системные файлы не заразишь - тупо прав не хватит если нет возможности обойти UAC, а заражение пользовательских файлов - игра в рулетку. Впрочем это все в теории, я не проверял.
В любом случае общая процедура обхода проактивки заключается в том, что необходимо оказаться в адресном пространстве доверенного процесса, и уже оттуда делать действия которые контролируются проактивкой - инжект, инфект, всякие уязвимости (dll hijanking, bof, etc), буткиты, системные возможности (авто подгрузка всяческих COM объектов и тд), непрямые вызовы (RPC, LPC, COM) и тд. Необходимо тем или иным способом найти метод который не контролируется проактивкой и доступен с теми правами, которые у вас будут (UAC, не администраторские учетки).
К сожалению простого способа сделать это не существует, только постоянный поиск и практика сможет принести вам результат, тем более все что вы сможете найти в паблике уже устарело и не работает с самыми распространенными защитами.
С другой стороны можно просто не делать того, что не нравится проактивке, либо просто забить на это - судя по всему даже палящийся на действиях бот будет отстукивать, но конечно с меньшим процентом.
- Автор темы
- Добавить закладку
- #13
Ладно всем кто ответил спасибо.. за помощ, за информацию и примерное направление дальнейших действий)
Это мне не кажется, или ты пытаешься сделать криптограф для Di BoTNet Zlo и подобного?
- Автор темы
- Добавить закладку
- #15
Нет... я хочу что бы у юзеров был этот совершенно безвредный и не криминальный софт... Тихо работающий параллельно остальным процессам!
- Автор темы
- Добавить закладку
- #16
Есть тут тот кто готов взяться за эту работу? =) $
если софт реально безвредный, то напиши каспермскому, чтобы добавил в исключения
интересный момент , проактивки пропустят софт если его подписать купленной легальной цифровой подписью ?
Barack
в КИСе есть настройка - доверять подписанным файлам, в остальных что-то подобное тоже есть, честно говоря не помню, что там по дефолту. Впрочем после утечек цифровых подписей все видимо подзатянули гайки на этот счет.
в КИСе есть настройка - доверять подписанным файлам, в остальных что-то подобное тоже есть, честно говоря не помню, что там по дефолту. Впрочем после утечек цифровых подписей все видимо подзатянули гайки на этот счет.