• XSS.stack #1 – первый литературный журнал от юзеров форума

Избавиться от 2-ух детектов

Отслеживать

MasterBass

HDD-drive
Пользователь
Регистрация
28.07.2011
Сообщения
46
Реакции
0
Добрый день.
Вот уже битый день бьюсь с этими детектами, но сделать ничего не могу.
Кто-нибудь может помочь, или может кто-нибудь встречался и знает как их "удалить" ??
Детектов 5, но у 4 АВ из 5 одинаковые базы, а значит одновременно можно избавиться от всех 4-ех.
http://scan4you.net/result.php?id=ccc34_2kaqim
Что пробовал:
1)шифровать все открытие строки
2)динамический подгруз всех API (сейчас только CreateFile).
3)Разные участки кода пробовал скомпилировать и понять, какой именно участок палится, но это никак результатов не дало. По отдельности все чисто.
 
Причин может быть много. Курите фэйковый импорт, возможно что то сигнатурно палится все же.
 
CepbIu
Спросили про импорт - я скинул файл, считаю что этого хватит.
В сорце ничего особенно нету. Используется RunPe Shellcode (пробовал чекать его отдельно - не палится), динамический импорт API тоже через Shellcode (чекал отдельно - не палится), ну и антиэмуль (путем генерации RSA ключа, немного вводим в заблуждения АВ)

Apocalypse
Ресурсов нету, простой запуск файла на диске. (С\Project1.exe)
Да вы правы, 4 детекта из-за антиэмуля. Сейчас это проверил. Спасибо большое.
Но если не использовать этот антиэмуль, встречаюсь с еще большими проблемами:
http://scan4you.net/result.php?id=688fb_2kerne
Судя по всему, требуется писать свой метод антиэмулятора.
 
ms раскручивает код наверняка
 
не только мсе, но и норман, касп и вба как минимум эмулят код.
нужно годный антиэмуль делать и код оборачивать мусором.
 
Мусорные вставки конечно помогают, но не всегда :)

Переписал эмуль:
http://scan4you.net/result.php?id=343e2_2kf17c

Остался только MS. Как защититься от раскручивания кода от MS?
 
demien
какие-нибудь простенькие примеры могли бы показать?)
просто даже в голову больше ничего не лезит, что им там не нравится :)

Apocalypse
Спасибо.
Но я потом еще протестирую все это дело в Runtime.
 
предыдущий эмуль он ведь не проходил... попробуйте совместить оба.. сначала тот что не палит бит, потом тот что от мсе. импровизируйте.

в рантайме - нужно добавлять шифровку значит, а это ой какое веселье с ав :)
 
demien
Попробую :)

Ну а какой смысл только scantime? нужно ведь и runtime :)
Неужто так сложно?) вроде бы здесь пока ничего сложного не встретил, хотя напоролся на этот МС, который мешает мне :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Подниму тему, не могу понять, по каким признакам палится файл. Экспериментирую с простым лоадером, без админки и автозапуска, просто скачать и запустить зашитый в билде ехе. Ссылка пошифрована ксором, имена функций - ror/rol, функции вызываются динамически (через PEB). В импорте вполне нормальные апи. Ключи для ксора/rol - берутся с GetLastError. Но все равно - 12 детектов, причем не просто Unknown malware, а именно downloader. Неужели аверы научились эмулировать РЕВ? И в таком случае - есть ли смысл вообще заниматься всем этим извратом с шифрованием строк и динамическим импортом, если все равно все палится?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
динамический импорт только подозрительных апи.
Я так и делал, Urldownload + winexec пошифрованы и динамически, а CreateFile,lstrlen,ReadFile - открыто. Но толку нет.
чтоб ответить что именно палится и эмулируется выложи сюда детекты.
http://chk4me.com/check/public/x941Ut84I5lPH331X8Lg
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх