Обход RunTime ( динамический анализ АВ)

[Slayer]

Quasar3с48

Да аверы сейчас баллами работают, уже давно. После волны поноса что нереально ниче поставить (например на авп тогда ныли все, если кто помнит).

Суть в том, что любой нелегальный метод добавляет баллов. Если это переходит какую-то границу - выбивает собственно детект. Если софт ведет себя как легальный, то все заебись. Ну или если он делает что-то вне монитора ав, то тоже заебись (но тут нужны сплойты). Поэтому единственный варик - это косить под приложение доброе. А юзать легитимный софт чтобы чет запустить, ну это пиздец. Вы еще через цмд давайте запускайте, там тоже подпись. certutils когда раньше тоже классно работал, только его белый софт не юзает и сейчас - это елка.

Короче имхо, под точечную мб это все и сойдет (если это инновация конечно), а вот под массу - никаких, бл#ть, внешних вызовов! Тупо на цепочку дерганья внешних приложух повесят детект и все, это достаточно уникально будет. Сколько раз я уже загаживал найденные мною методы, когда лил массово их. В моменте рантайм детекты.

Вопрос ещё такого плана , как тогда на бордах висят ТСы продающие свою малварь с fud рантаймом ? Или все это п$_дешь ?

 

[AnusPoloskator]

Вопрос ещё такого плана , как тогда на бордах висят ТСы продающие свою малварь с fud рантаймом ? Или все это п$_дешь ?

Ну если фуд рантайм у них прочекан на run4me (или как там этот чекер называется, который амер заделал после динчека? темный фон еще), то я им верю.

Зависит же от настроек аверов. У бесплатных так вообще рантайм крайне кривой. У платных посильнее, да и там можно выкрутить на максималке, что хрен пролезешь без серта или сплойтов (привет, комодо).

Короче это крайне субъективно. Вполне вероятно, что и пиздеж. На экспе я ни одного софта не вижу с чистым рантаймом почему-то. Ах да, потому что там проверку за такое заставят пройти

 

[LoveNikki]

Немного дополню вопрос. Не реклама : Туц
Ссылка на пару сложных и не сложных методов обхода проактивки , которые расписал тс в середине 2017-ого. Что из этого актуально ещё сегодня , или это уже история ?

бред, нужно реверсить ав и смотреть какие функции не эмулируются, и на основании их делать антиэмулятор

 

[LoveNikki]

Всем привет. В создании малвари полный нуб , поэтому не кидайте сцаными тряпками. Вопрос такой : где поискать информацию (может кто готов поделиться в ЛС в телеге) об актуальных методах обхода проактивных методов защиты АВ.

Пример - пару дней назад захотел написать свой Майнер. Соответственно нужен лоадер , который скачает модули и запустит. Как обойти подводные камни ? Заранее спасибо. Подобный пост размещу и на **** для большего потока информации от знающих людей.

сокеты используй для скачивания

 

[AnusPoloskator]

бред, нужно реверсить ав и смотреть какие функции не эмулируются, и на основании их делать антиэмулятор

да никакие не эмулируются, там тупо заглушки стоят. Если отревершивать только и смотреть что за заглушка и по ней палить. Например если функа возвращает строку, то авер тоже вернет какую-то х#йн. Невероятно но факт, аверы в аввм почти всегда возвращают что-то константное :smile80:

Вместо реверса можно юзать технику впервые описанную на блекхате. Название не помню, только суть. Суть там была в том, чтобы узнать значение захардкоженных заглушек внутри аввм. Например имя юзера и тп, либо rtdsc, да что угодно.

Ну, так вот. Берется типа ассоциативный массивчик: байт:сигнатура. Сигнатура зашифрована. Берется например юзернейм, первая буква и по этой букве декриптится определенная сигнатура. Какой детект выбивает - та буква и первая. И так для всех букв. Сначала таким же образом определяется длина. Потом просто проверка на константу и выход - антиэмуль готов.

Но имхо бред это все. Поставят детект сигнатурный на антиэмулятор и хер ты его почистишь.

Тайминги - наше все, никогда не будут пофикшены и сигнатурно запалены. Просто срем мусором, а результат мусора юзаем для декрипта пейлоада, например. Авер не сможет проэмулить весь мусор, и пропустить тоже не сможет, так как надо его выполнить, чтобы узнать ключ. Чем качественнее мусор тем качественне антиэмуль. Сигнатуры на мусор затруднительно повесить такие, чтобы при регенерации они остались. Нужна очень большая выборка, много сэмплов. И то зависит от качества трешгена.

Можно юзать xtg2 например, там вроде норм мусор. Просто генерим мусор, компилим в профайлере, берем из него дамп регистров после выполнения мусора и на основе этого криптим пейлоад, вставляя декриптор который юзает нужные регистры. х#й там его пропустишь, а выполнить например мусор который на реальной тачке выполняется секунд 5 - авер не сможет никогда.

Да и то это актуально все только в вопросах крипта. На рантайме все равно выебут. Либо проактивкой, либо memscan. Поэтому нынче надо морферы пилить, а не с антэмуляторами в жопу долбиться, к сожалению

 

[LoveNikki]

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/28390/#post-159599

 

[n1ppyyyy]

Всем привет. В создании малвари полный нуб , поэтому не кидайте сцаными тряпками. Вопрос такой : где поискать информацию (может кто готов поделиться в ЛС в телеге) об актуальных методах обхода проактивных методов защиты АВ.

Пример - пару дней назад захотел написать свой Майнер. Соответственно нужен лоадер , который скачает модули и запустит. Как обойти подводные камни ? Заранее спасибо. Подобный пост размещу и на **** для большего потока информации от знающих людей.

лоадер сорика все еще фуд)

 

[ridealang]

Вопрос ещё такого плана , как тогда на бордах висят ТСы продающие свою малварь с fud рантаймом ? Или все это п$_дешь ?

Даже если рантайм чист, то при массовом прогрузе он будет красным в динамике - инфа сотка.
Есть на экспе один криптер который морфит и чистит детект от парочки топ ав, но дорогой

 

[ridealang]

Просто срем мусором, а результат мусора юзаем для декрипта пейлоада, например. Авер не сможет проэмулить весь мусор, и пропустить тоже не сможет, так как надо его выполнить, чтобы узнать ключ. Чем качественнее мусор тем качественне антиэмуль. Сигнатуры на мусор затруднительно повесить такие, чтобы при регенерации они остались. Нужна очень большая выборка, много сэмплов. И то зависит от качества трешгена.

Качество трешгена - наше все. Профит еще и напрямую будет зависеть от веса самого стаба, что является критическим фактором для крипта

 

[Koklush]

Даже если рантайм чист, то при массовом прогрузе он будет красным в динамике - инфа сотка.
Есть на экспе один криптер который морфит и чистит детект от парочки топ ав, но дорогой

Бред - "Даже если рантайм чист, то при массовом прогрузе он будет красным в динамике ", рантайм детект - это детект при работе софта ,не может быть елка при проливе ,если рантайм чистый.

 

[ridealang]

Бред - "Даже если рантайм чист, то при массовом прогрузе он будет красным в динамике ", рантайм детект - это детект при работе софта ,не может быть елка при проливе ,если рантайм чистый.

Ты не правильно понял, что я написал выше. Да, рантайм детект - это детект по поведенческому алго, но при массовом прогрузе файла он попросту попадает в облако и его прибивают. Это инфа не из воздуха а на реальном многолетнем опыте.

 

[Koklush]

Ты не правильно понял, что я написал выше. Да, рантайм детект - это детект по поведенческому алго, но при массовом прогрузе файла он попросту попадает в облако и его прибивают. Это инфа не из воздуха а на реальном многолетнем опыте.

Если бы ,это так быстро бы работало - ниодин масогруз не был бы жив

 

[ridealang]

Ок, грузани 50-100к ботов юс ка и увидишь сам)

 

[Koklush]

Ок, грузани 50-100к ботов юс ка и увидишь сам)

25к грузил - особых проблем не было