обфускация вызова функции

[premiumcat]

скрывать название функции чтоб антивирус на статическом анализе не поймал

GitHub - XShar/Win_API_Obfuscation: Скрытие Win API

Скрытие Win API . Contribute to XShar/Win_API_Obfuscation development by creating an account on GitHub.

github.com

Малварь как искусство - Как обфусцировать вызовы WinAPI

Интересная техника, которая используется в малвари, да и не только. В частности антивирусы не редко ложно детектят некоторые вызовы API по ошибки, также полезно для защиты чего-либо от любопытных глаз реверсера. Техника кстати говоря не сложная, оригинал тут Тайный WinAPI. Как обфусцировать...

ru-sfera.online

 

[Quake3]

название функции

Давайте разберемся, где оно может быть. Когда вы пишете в коде вида CreateProcess(...), то вот этот CreateProcess(A/W) появляется в таблице импорта (как и почему - читайте матчасть по РЕ и линкерам). Чтобы его там не было, достаточно грузить функцию через стандартный GetProcAddres. Но - будет строка внутри "CreateProcess", которую может найти авер или реверсер. Поэтому, надо или искать по хешам, как писали выше, или шифровать чем-то строку и дешить в динамике.

По хешам. Берется имя функции, и от него вычисляется хеш (как пример - есть md5 , только тут такой сложный не надо). Потом идет перебор всей таблицы экспорта дллки, вычисляется хеш от каждой функции там, и сравнивается с нашим. Если совпало - значит, нашли нужную функцию. На эту тему можно почитать классическую статью "долой импорт", из журнала хакер за 2005 год https://xakep.ru/issues/xa/080/ , либо что нибудь из того, что запостили в теме.

 

[JamesHook]

спасибо ребят?
простыми словами обьяснено, постараюсь имплементить