Каким должен быть размер малвари???

[Ar3s]

1. Размер не айс. Сильно не айс. Я хоть и критиковал "КРОТ", но размер файла там был годный.
2. Может я туплю, но не могли бы вы выдать список из "50+ браузеров". А то я с ходу только 10 смог вспомнить.

 

[Quake3]

1. Размер не айс. Сильно не айс. Я хоть и критиковал "КРОТ", но размер файла там был годный.
2. Может я туплю, но не могли бы вы выдать список из "50+ браузеров". А то я с ходу только 10 смог вспомнить.

1. Сейчас размер 500кб считается "небольшим". Я сам в шоке был, когда вернулся на форумы, но что есть то есть.
2. имеются ввиду ФФ-подобные браузеры и хроме подобные, там много чего есть , даже Комодо запилил 2 шт.

 

[gozeye]

1. Сейчас размер 500кб считается "небольшим". Я сам в шоке был, когда вернулся на форумы, но что есть то есть.
2. имеются ввиду ФФ-подобные браузеры и хроме подобные, там много чего есть , даже Комодо запилил 2 шт.

Да чего тут удивляться. Раньше и 30 килобайт считалось огромным размером. А в 12 году все говорили "вот хороший размер лоадера". Очевидно, лет через 5 будут говорить про 1 мегабайт, как небольшой размер.
Это неизбежно. И я даже вижу возможные причины, что в будущем может так сильно раздуть вес.

 

[Кузя]

что-то вы уж больно придирчивы, товарисчи. какая вам разница на размер, если софт работает? задача - по-тихому ск0чадь и загрузить херню - оно и загрузит и исполнит, и чо? размер увеличил количество загрузок, или может,шеккеелей?)))

если вы из идей оптимизации - то можно и нужно оптимизировать, но размер уменьшить - вопрос - а нужно ли?
тем более, что как раз низкий размер (равно как и любой размер, используемый в массовых прогрузах) - это один из флагов детекта? и не говорите мне про энтропию - она тут не собьет маску детекта по размерам.
непонимаю вас всех в плане ддрочинга за размеры...

 

[gozeye]

что-то вы уж больно придирчивы, товарисчи. какая вам разница на размер, если софт работает? задача - по-тихому ск0чадь и загрузить херню - оно и загрузит и исполнит, и чо? размер увеличил количество загрузок, или может,шеккеелей?)))

если вы из идей оптимизации - то можно и нужно оптимизировать, но размер уменьшить - вопрос - а нужно ли?
тем более, что как раз низкий размер (равно как и любой размер, используемый в массовых прогрузах) - это один из флагов детекта? и не говорите мне про энтропию - она тут не собьет маску детекта по размерам.
непонимаю вас всех в плане ддрочинга за размеры...

правильно гооворишь, просто никто бы не приебался если бы он не написал про маленький размер рядом с 500 килобайтами. Вопрос где он еще напиздел.

 

[Ar3s]

что-то вы уж больно придирчивы, товарисчи. какая вам разница на размер, если софт работает? задача - по-тихому ск0чадь и загрузить херню - оно и загрузит и исполнит, и чо? размер увеличил количество загрузок, или может,шеккеелей?)))

Ну давайте подумаем отчего мы все так потеем за размеры.
1. способы распространения. Сейчас это или спам или вложения в всякие там doc/pdf файлы. Если у нас малваря 500кб - сколько будет качаться документ у пользователя если он допустим в херовой области файфая? Есть шанс что пользователь за это время закроет документ? Открыл, нажал enable content, секунду потупился в чистый лист (как это сделано у большинства склейщиков) и закрыл.
2. большой размер априори дает больше срабатываний. Почему? Да потому что большой размер - это не обфускация, не мусорная нагрузка, это зачастую статичные данные. Например прилинкована либа. И это гарантированный детект не доходя до эвристика. Статический анализ уже выдаст совпадение при распаковке бинарника. Просто по ряду признаков.
3. чем меньше бинарник - тем большего уровня знаний требует от кодера. Значит тем лучше написана малварь. Значит тем лучше отстук и стабильнее работа.
4. ну и на последок. Я сотни раз видел малварь в районе 300-600 кб. Практика показывает что такая малварь долго не живет, работает так себе, чистится/криптуется погано. (чисто из опыта)

 

[Alexuiop1337]

Ну давайте подумаем отчего мы все так потеем за размеры.
1. способы распространения. Сейчас это или спам или вложения в всякие там doc/pdf файлы. Если у нас малваря 500кб - сколько будет качаться документ у пользователя если он допустим в херовой области файфая? Есть шанс что пользователь за это время закроет документ? Открыл, нажал enable content, секунду потупился в чистый лист (как это сделано у большинства склейщиков) и закрыл.
2. большой размер априори дает больше срабатываний. Почему? Да потому что большой размер - это не обфускация, не мусорная нагрузка, это зачастую статичные данные. Например прилинкована либа. И это гарантированный детект не доходя до эвристика. Статический анализ уже выдаст совпадение при распаковке бинарника. Просто по ряду признаков.
3. чем меньше бинарник - тем большего уровня знаний требует от кодера. Значит тем лучше написана малварь. Значит тем лучше отстук и стабильнее работа.
4. ну и на последок. Я сотни раз видел малварь в районе 300-600 кб. Практика показывает что такая малварь долго не живет, работает так себе, чистится/криптуется погано. (чисто из опыта)

1. Пользователь откроет документ, нажмет кнопку и файл запустится и уже не важно какой размер у файла, если он запустится
2. Говоришь с какой-то невероятной увереностью, что там статик либа. Но как раз все наоборот. Лишние 100-150 кб - это обфускация, трешкод, encryption. Хотя откуда тебе знать, бинарника у тебя нет
3. Прекрасная логика. Возьми любый ненакрытый стиллер на шарпе, там размер всегда будет очень маленький. И что - юто показатель уровня кодера или качества отстука. Такая логика может когда-то то и работала, но точно не сейчас.
4. Опять все из пальца... Нативный софт всегд криптуется лучше, чем .net, но размером всегда больше. Тем более то как софт криптуется не от размера зависит, а от того, что в коде самого стиллера прописано, и размер тут не важен

 

[Quasar3с48]

gozeye, Ты тоже спекулируешь, маленькая малварка наберет дополнительные балы за единую секцию, отсутвия импорта и подобные хаки уменьшения размера, а большая малварка наберет положительные балы за CRT/STL это верно, но ничего не мешает закриптовать маленькую малварку криптором с мусором CRT/STL и все равно выграв в размере против большой малварки получив все её качества.

Софт АНБ используется в таргетированых атаках, а не спамится направо и налево, как стиллер, это сравнение не корректно. Вряд ли даже лоадер является настоящим лоадеров в нашем понимание, это не софт первый волны, его ставят для разведки использую эксплоиты или как написано в этой статье через autorun.exe на CD диске.

Надо наверное перенести посты о размере в отдельную тему для дальнейшего обсуждения, что бы не засорять топик.

 

[weaver]

Надо наверное перенести посты о размере в отдельную тему для дальнейшего обсуждения, что бы не засорять топик.

Перенес, дык, скорость интернет соединений растет поэтому размер стремится к < 1 мб

 

[higgler]

По мимо размера еще нормальный яп нужен. Около 5-30 кб для малвари на асме или си будет в самый раз.
Умельцы могут и в пару кб вместить, но есть ли смысл? Все равно после крипта размер будет увеличен на 100+ кб. Ав не любит небольшой софт.

 

[gozeye]

gozeye, Ты тоже спекулируешь, маленькая малварка наберет дополнительные балы за единую секцию, отсутвия импорта и подобные хаки уменьшения размера, а большая малварка наберет положительные балы за CRT/STL это верно, но ничего не мешает закриптовать маленькую малварку криптором с мусором CRT/STL и все равно выграв в размере против большой малварки получив все её качества.

Софт АНБ используется в таргетированых атаках, а не спамится направо и налево, как стиллер, это сравнение не корректно. Вряд ли даже лоадер является настоящим лоадеров в нашем понимание, это не софт первый волны, его ставят для разведки использую эксплоиты или как написано в этой статье через autorun.exe на CD диске.

Надо наверное перенести посты о размере в отдельную тему для дальнейшего обсуждения, что бы не засорять топик.

В чем плюсы маленькой малварки? То что закроют раньше док и тд и тп - это пук в воду, ни на что не влияет, говорю как спамер, который делает свои доки.

 

[Luciferus]

Малварь должна быть маленькой и исправно работать. Жертвовать стабильностью ради размера - глупо. Нужно соблюдать пропорцию.

 

[Quasar3с48]

gozeye, Быстрее скачать, легче спрятать. В чем плюсы большой малварки ?

 

[Apocalypse]

ничего не мешает закриптовать маленькую малварку криптором с мусором CRT/STL и все равно выграв в размере против большой малварки получив все её качества

Вот чел все правильно написал. Орнул про малварь из АНБ, уф...

 

[gozeye]

gozeye, Быстрее скачать, легче спрятать. В чем плюсы большой малварки ?

Быстрее качать? На секунду, две? Легче спрятать? Чем легче?

Плюсов большой малварки нет, как и минусов. Вы застряли как будто все в 2000-х годах, когда кодили файловые инфекторы на тасме и дрочили на размер.
Мы живем бл#ть в 2019 году. Пора уже на скриптовую малварь переходить с натива.

Вон гуткит (банкбот, на секундочку) написан на Node.JS, хоть и юзает байдинги на C++... А вы тут дрочите на отсутствие CRT/STL... фу, бля

В вас развития нихуя нет. Я помню когда малварь на C/C++ считалась зашкваром нубов, как сейчас примерно C#.

Если вы такие принципиальные, где ваша малвара на асм? Я помню много людей которые так и ниасилили на плюсы перейти с асма, в итоге эпоха инфекторов ушла, тасм лишился поддержки, пошла эпоха модульных троянов, которые заебешься пилить на асме. Вон взять ту же андромеду. На асме написано, круто, да, только багов - неебись в ней. Начиная с криво-работающим инжектом, заканчивая утечками памяти (Apocalypse подтвердит, который каким-то фигом решил тут поддерживать маленький размер). И чем это было лучше малвари написанной на C++? Это было только хуже.

Примерно также я смотрю сейчас на вас, кто заливает про размер, как вы на тех (наверное), кто заливал что малварь на асме - супер круто, а на си - хуита.

 

[Ar3s]

А какие в ней были баги? Ну для тех кто не в курсе.
И кстати на асме были версии 2,06-2,08 дальше она была на си переписана

 

[gozeye]

А какие в ней были баги? Ну для тех кто не в курсе.
И кстати на асме были версии 2,06-2,08 дальше она была на си переписана

Ну вот в асм версии были утечки памяти. Я точно помню, сам в профайлере находил. Это было давно, я прямо сейчас на то же место не смогу указать. Да и нет ни желания, ни времени.

На этом я сливаюсь с форумов опять, на неопределенный срок. Удачной жизни в прошлом. :*

 

[Ar3s]

Нормально так. Зайти, поднять всем нервы. Поспорить с пеной у рта и, красиво взмахнув платком, сказать: "Адиос. Я умнее вас." В тот момент когда заканчиваются аргументы.

 

[Quake3]

Я думаю, что размер размеру рознь. Одно дело, когда кодер написал какую-то сложную ВМ или еще что нибудь большое, где авер потеряется и не найдет полезную нагрузку, и другое - когда кодер тащит в прогу разный левый мусор. Вот давайте посмотрим те же стиллеры. За счет чего там 500+кб? Обычно, за счет работы с SQLITE, когда кодеру впадлу кодить нормально, и он тупо линкует sqlite.c. Или майнеры, популярные год назад. Я видел лишь на экспе 1 нормальный майнер (вроде как паблик от S.), а так то - сплошной переделанный XMRig, просто убрали все видимое юзеру и поставили свои пулы. И это однозначно непрофессионализм. Я уже молчу про дебаг-инфу в екзе или малварь на аутоит, питоне и прочих технологиях.

 

[gozeye]

Я думаю, что размер размеру рознь. Одно дело, когда кодер написал какую-то сложную ВМ или еще что нибудь большое, где авер потеряется и не найдет полезную нагрузку, и другое - когда кодер тащит в прогу разный левый мусор. Вот давайте посмотрим те же стиллеры. За счет чего там 500+кб? Обычно, за счет работы с SQLITE, когда кодеру впадлу кодить нормально, и он тупо линкует sqlite.c. Или майнеры, популярные год назад. Я видел лишь на экспе 1 нормальный майнер (вроде как паблик от S.), а так то - сплошной переделанный XMRig, просто убрали все видимое юзеру и поставили свои пулы. И это однозначно непрофессионализм. Я уже молчу про дебаг-инфу в екзе или малварь на аутоит, питоне и прочих технологиях.

Если под S. ты имеешь ввиду всем известных личностей, то там тоже юзался xmrig, просто подтягивался с сети как дллка и грузился через хуки NtMapViewOfFile (кажетсо, я уже не помню, больше года прошло, мб с NtCreateSection хукался) с последующим вызовом LoadLibrary на рандомную либу в системе и подмены тела либы телом xmrig, в результате чего PE Loader винды сам инициализировал все TLS потоки и прочее. И там вообще был PoC, неюзабельный в реальных условиях. Xmrig там был скомпилен в дллку, к слову компилился он на линуксе, так как на винде mingw не завелся.

Вот да, там было на фасме. размер 10 килобайт, хитровыебанная загрузка, а в итоге смысл? Смысла нет... Просто выебнуться) Помню на серверных осях всплыли потом баги, так как у них по другому происходила инициализация TLS видимо... Короче слишком много мороки. Проще реально было перекомпилить xmrig и не ебаться с этой херней, все равно от хмрига была зависимость, пусть и по сети качался.

Да и к тому же, никто не будет с нуля пилить реализацию cryptonight алгоритма, со всеми этими аппаратными AES-NI, которые из коробки внутри xmrig поддерживаются. Не тот профит.