Нужны ли в крипторе доп. фишки?

[demien]

Я хз бывает ли тут кто-нибудь, но всё же...

Задумался над тем, нужны ли в крипторах фишка типа антидебага, антидампа, а также детекты виртуалок и сандбоксов? На сколько оправданно?

Хотелось бы выслушать ваше мнение по сабжу..

Второстепенные вопросы:
1. какие сейчас паблик методы антидебага и антидампа наиболее эффективны?
2. с детектом виртуалок всё ясно, но стоит ли?
3. пабликовые сандбоксы сейчас актуальны, но также есть и менее известные типа питонового куку и локальные... В этом случае есть идея чекать KnownDlls на предмет левых длл и умно киляться в случае чего, так например можно обойти песочницу аваста и попрепятствовать р3 дампу, но не повлечет ли за собой сопутствующие проблемы?
4...
5...

 

[greenzy]

я в день реверсю по 7-8 файлов. и каждый из них запакован. но это не проблема ибо ВСЕ (!) крипторы распакоываются по одному и тому же алгоритму:
bp ZwAllocateVirtualMemory - decrypt buffer
bp ZwResumeThread

или простой поиск в теле call eax (или другой регистр), jmp eax
мало кто из крипторов проверяет наличие брейкпойнтов

 

[demien]

Вот и отлично, опытный человек трех неопытных стОит
скажите greenzy, из того что встречалось, наиболее
интересные технологии\степень сложности для вас что
представило?

Я как совсем-чуть-чуть недо реверсер понимаю, что мониторинг дебаг флагов
и чек резалта апишек антидебажных лечится элементрарно сокрытием ольки
плагином фантома и olly advanced... софтайсом наверное уже и не пользуются в наши дни и отлавливать его нет смысла?

Бряки на

bp ZwAllocateVirtualMemory - decrypt buffer
bp ZwResumeThread

это для загрузчика, что юзает засуспенженный критпроцесс, а если перемэп как например в лоадере Left4Dead?

А также какой % из реверсируемых вами юзают детект виртуалок\сандбоксов?

p.s. И кстати, к вам вопрос, как к человеку видевшему не один пе лоадер при реверсе, были ли сэмплы с наиболее полноценной реализацией?
Путем многократных тестов было выявленно, что самый большой процент охвата поддерживаемых ехе файлов все же у RunPe (засуспенженный критпроцесс с переносом контекста).

 

[el-]

пореверсите китайских малварчиков, там у них чего только нету, желание сделать нормальный дамп отпадает

 

[Chococream]

Задумался над тем, нужны ли в крипторах фишка типа антидебага, антидампа, а также детекты виртуалок и сандбоксов?

Однозначно нужны.

На сколько оправданно?

Зависит от самого способа.
Процентное соотношение среди реверсеров:
60% - пропадёт желание реверсить.
40% - наоборот подстегнёт к дальнейшему исследованию.

 

[Quake3]

Задумался над тем, нужны ли в крипторах фишка типа антидебага, антидампа, а также детекты виртуалок и сандбоксов? На сколько оправданно?

Однозначно это все нужно.

1. какие сейчас паблик методы антидебага и антидампа наиболее эффективны?
2. с детектом виртуалок всё ясно, но стоит ли?

Я только такое знаю (из ксакепа, проверил, в олли работает, и виртуалбокс детектит):

RDTSC
XCHG EAX, ECX
RDTSC
SUB EAX, ECX
CMP EAX, 1000
JBE NOT_DEBUGGED
CALL Kernel32.TerminateProcess
…

NOT_DEBUGGED: выполнение программы

 

[demien]

спасибо квейк, юзается уже подобный кодес, но немного в инных целях.

пореверсите китайских малварчиков, там у них чего только нету, желание сделать нормальный дамп отпадает

эль где можно взять семплы?

Однозначно нужны.

Крем есть семплы которые стОят внимания именно в целях противодействия реверсу\анализу?

В целом если детектить сандобксы то пабликовые на основе названий их процессов, дллок и названия оборудования?

Касательно 3-го пункта кто что может сказать?