Обсуждение крипта на .NET

[Haunt]

короче говоря чтобы было понятнее я произвожу чистку сигнатур + добавляю свои наработанные методы по усложнению обнаружения поэтому у меня практически чистый рантайм получается и скантайм
например возьмем дефендер в любой малвари он срабатывает если есть в коде какая то сигнатура для того что бы избавится от детекта дефендера необходимо почистить и изменить метод чтобы этой сигнатуры не было надеюсь теперь тебе понятно почему я в легкую обхожу рантайм

Что для тебя есть рантайм? Сигнатуры?

 

[DildoFagins]

смотри ты думал что я делаю обычный крипт то есть стабовый? нет я этого не делаю я работаю с самим кодом + добавляю в код уже свои наработанные методы по обходу ав

Ну как ты это делаешь - в принципе в контексте спора не так важно. Но да, надо иметь ввиду, что семантика (поведение) кода до и после "крипта" должна сохраниться, то есть если код сбрасывает eicar в темп с именем svchost.exe и пытается его запустить, а ты eicar заменишь на картинку с котиком, svchost.exe на cat.png, а запуск на открытие cat.png пейнтом, то это не будет считаться обходом.

Ждать меня в этом случае особо и не нужно, это одна функция, строчек на 20, ты быстрее сам ее сделаешь и "закриптуешь", а мне скинешь бинарь на проверку. Я просто думал, сделать сборку, набросать какой-то тривиальный криптор и сравнить его результаты с твоими на аверах с более-менее нормальными проактивками. Алгоритмически нужно закинуть eicar в темп с именем svchost.exe и запустить его. Если спалится только eicar, а не твой экзешник, или вообще ничего не спалится, то я бы это считал обходом рантайма.

Ну и да, если у тебя есть защиты от запуска в ВМ и не работать с procmon'ом, то нужно эти защиты убрать, тк я буду тестить на ВМ, а procmon нужен, чтобы определить в рантайме, какое действие привело к детекту. И если у тебя там будут какие-то длинные слипы или еще какое-то "девиантное поведение", то тоже меня предупреди, чтобы я знал, как правильно тестить.

 

[blackteam007]

Что для тебя есть рантайм? Сигнатуры?

если не знаешь не лезь хватит умничать сидеть я уже все доходчиво обьяснил кто знает то поймет

 

[blackteam007]

Ну как ты это делаешь - в принципе в контексте спора не так важно. Но да, надо иметь ввиду, что семантика (поведение) кода до и после "крипта" должна сохраниться, то есть если код сбрасывает eicar в темп с именем svchost.exe и пытается его запустить, а ты eicar заменишь на картинку с котиком, svchost.exe на cat.png, а запуск на открытие cat.png пейнтом, то это не будет считаться обходом.

Ждать меня в этом случае особо и не нужно, это одна функция, строчек на 20, ты быстрее сам ее сделаешь и "закриптуешь", а мне скинешь бинарь на проверку. Я просто думал, сделать сборку, набросать какой-то тривиальный криптор и сравнить его результаты с твоими на аверах с более-менее нормальными проактивками. Алгоритмически нужно закинуть eicar в темп с именем svchost.exe и запустить его. Если спалится только eicar, а не твой экзешник, или вообще ничего не спалится, то я бы это считал обходом рантайма.

Ну и да, если у тебя есть защиты от запуска в ВМ и не работать с procmon'ом, то нужно эти защиты убрать, тк я буду тестить на ВМ, а procmon нужен, чтобы определить в рантайме, какое действие привело к детекту. И если у тебя там будут какие-то длинные слипы или еще какое-то "девиантное поведение", то тоже меня предупреди, чтобы я знал, как правильно тестить.

ты тоже ничего не понял причем тут картинки с котиками и прочая х#йня я все доходчиво обьяснил это твои проблемы что ты не понял что я делаю и как я делаю сегодня сделаю на эйкар файле и убедишься что тыыыы был не прав и защиту от вм я добавляю только в тех случаях когда заказчику это надо

 

[DildoFagins]

Ну тест оказался не таким хорошим, как я думал. На дроп eicar далеко не все агрятся, да и скантайм на удивление не полностью красный. Но в целом, я думаю, подойдет, тк аверы на которых я расчитывал палят с рантайме (Касперский, Ф-Секьюр и тд), а МСЕ палит в скантайме. Можем так попробовать, код во вложении, если нужен. Я правильно ванганул, что он будет в 20 строк.

если не знаешь не лезь хватит умничать сидеть я уже все доходчиво обьяснил кто знает то поймет

ты тоже ничего не понял причем тут картинки с котиками и прочая х#йня я все доходчиво обьяснил это твои проблемы что ты не понял что я делаю и как я делаю сегодня сделаю на эйкар файле и убедишься что тыыыы был не прав и защиту от вм я добавляю только в тех случаях когда заказчику это надо

Ну вообще говоря, именно ты тут ведешь себя, как мудак, собственно, как обычно. У тебя жопа подрывается на любой херне, я бы посоветовал тебе вести себя поспокойнее, от этого в частности на тебя вечно и арбитражи пишут.

 

[blackteam007]

Ну тест оказался не таким хорошим, как я думал. На дроп eicar далеко не все агрятся, да и скантайм на удивление не полностью красный. Но в целом, я думаю, подойдет, тк аверы на которых я расчитывал палят с рантайме (Касперский, Ф-Секьюр и тд), а МСЕ палит в скантайме. Можем так попробовать, код во вложении, если нужен. Я правильно ванганул, что он будет в 20 строк.



Ну вообще говоря, именно ты тут ведешь себя, как мудак, собственно, как обычно. У тебя жопа подрывается на любой херне, я бы посоветовал тебе вести себя поспокойнее, от этого в частности на тебя вечно и арбитражи пишут.

просто ты сам веди себя правильно и не будет такого негатива с моей стороны в твой адрес, я знаю что ты во многом силен.
по поводу арбитражей на меня я хоть кого то скамнул? если бы ты повнимательней эти арбитражи читал то ты бы понял просто читать надо не между строк а все что пишется тогда и вопросов в твоей голове никаких не будет))
по поводу твоего кода он будет больше 20 строк

 

[blackteam007]

334 строки получилось чуть позже проверю файлик, залью его на мегу и кину тебе линк

 

[blackteam007]

Ты вроде бы шаришь, но поверхностно.

Рантайм детект убрать не изи, неужели в 2021 (скоро 22) люди элементарно не могут понять как работет криптер и полезен ли он. Ибо на крипт это бабки на ветер. Ни какая защита от эмуля, скана, хука, вм не спасет, поморфи код не спасет (не всегда кста). К чистке малвари нужно подходить систематически. Как я это вижу? Переписать код, юзать другие апи (детект по колл мап апи), не заморачиваются даже сисколы юзать чтоб не хукали функции, хотя как это делать на гите лежит и целое описание тут есть. Сложно ли чуть денежек накопить и купить норм софт с постоянной чисткой РАНТАЙМА, с нововедением арсенала, поиском новых решений проблемы. Вот из-за консерватизма и непродвижении рынка страдают кодеры криптуя ваши ебанные редлайны за 100 бачей. Пздц накипает от этой ситуации, что все как было раньше так и осталось. Тот же стилак написать с 2-3 детектами вообще не проблема, но нет, давайте покупать с 15 детектами пабл. Что мешает кардерам, ПП просто подойти систематически. Взять кваку того же и спросить как решить ту или инную проблему. Я могу закриптовать ту же кобу или мимик и будет выдавать в рантайме с включенным дефом фуд, оттуда инжектится в другой проц и закрепить кобу. Ибо деф такая хуита... Пару мануалов, собрать с гита, купить крипт за 10 бачей и го в бой рубить бабки, а то во смотрите у стальмана 1 биток и интегры вообще 27...

в том то и дело что рантайм убрать не сложно

 

[DildoFagins]

А какой легитимный процесс?

Хз, от прав зависит и надо тестить. От пользователя: explorer.exe, головные процессы браузеров (те, которые не low integrity level запущены), может еще что-то, что есть на системе, но не офисные приложения (они хорошо мониторятся, запуск какого-нибудь cmd.exe от процесса какого-нибудь ворда авер может посчитать, как сработавший эксплойт/макрос). От адмена: любой из svchost'ов, csrss.exe, wmiprvse.exe и другие.

 

[DildoFagins]

А еще запарнее найти чистый инжект, что не перепробовал все детект и вся хуита.

На одном из прошлых конкурсов была статья о том, что Касперский пропускает инжект с обычным созданием удаленного потока, я в шоке был, даже проверил, но это действительно оказалось так. Да и есть куча дыр в оконной подсистеме.

 

[WhatsNew]

Просто крашится процесс.

Вероятнее всего твой шеллкод содержит нуллбайты, их нужно закодировать. Смотри тот же nullz-encoder от modexp. А так, описанный modexp'ом метод достаточно хорош. Многие аверы не триггерятся на VrtualProtect(PAGE_EXECUTE_READWRITE) & CreateRemoteThread(), без записи чего-либо в целевой процесс.

 

[Haunt]

если не знаешь не лезь хватит умничать сидеть я уже все доходчиво обьяснил кто знает то поймет

метод чтобы этой сигнатуры не было надеюсь теперь тебе понятно почему я в легкую обхожу рантайм

Вопрос был адресован тебе, потому что ты несёшь полную х#йню, когда говоришь, что чисткой сигнатур убираешь рантайм и я не уверен что ты вообще разбираешься как оно работает под капотом. Я лезу с вопросами, потому что как раз знаю и вижу что, кто то даже основ не понимает, а выебуется дохрена

Ждём крипт еикара от тебя.

 

[blackteam007]

Вопрос был адресован тебе, потому что ты несёшь полную х#йню, когда говоришь, что чисткой сигнатур убираешь рантайм и я не уверен что ты вообще разбираешься как оно работает под капотом. Я лезу с вопросами, потому что как раз знаю и вижу что, кто то даже основ не понимает, а выебуется дохрена

Ждём крипт еикара от тебя.

несешь х#йню только ты)) если ты нихуя не знаешь то помалкивай будь добр а то все такие умные пиздец а на деле х#й
если бы ты внимательно читал то что я пишу то у тебя бы не было вопроса я написал что я сначала делаю чистку сигнатур после шифрую код после этого добавляю уже свои методы по обходу ав рантайма и тд дохрена дел вообщем но суть в том что я как раз таки знаю что такое рантайм а видимо ты не знаешь

 

[Haunt]

несешь х#йню только ты

Окей, как скажешь. Ждём крипт eicar

 

[DildoFagins]

blackteam007, так чего там, получилось у тебя что-то?

 

[blackteam007]

blackteam007, так чего там, получилось у тебя что-то?

За задержку извиняюсь были проблемки с другим софтом делал чистку! файлик эйкар готов скину тебе его в личку и у меня просьба не сливай файл просто проверь его на аверах и дефендер и сюда в теме отпиши свои наблюдения)
только есть небольшая проблемка если не изменять код эйкара так как это сигнатура то дефендер его палит файл которые дропается в папку "temp" основной файл чистый.
но мы же не обговаривали с тобой что код менять я не могу.
Моя задача была обойти рантайм детекты АВ выше я расписывал как я это делаю процесс сначала идет чистка сигнатур а потом уже все остальное в данном случае сигнатуру я почистил и обошел ав детекты.

 

[blackteam007]

blackteam007, так чего там, получилось у тебя что-то?

 

[DildoFagins]

проверяй ( это лишь малая часть из тактик которые я использую для чистки сигнатур и для обхода рантайма )

Ну не хочу тебя расстраивать, но малой части из тактик, судя по всему, недостаточно. Забавно, но сам твой крипт добавил немного скантайм детектов. Теперь вся пачка разных нортонов (которая у меня есть) палит в скантайме, привожу скрин с детекта Norton360 (сигнатура одна и та же). F-Secure теперь палит в скантайме, а не в рантайме, как это было до крипта, даже не дала скопировать файл из локальной сети. Добавился скантайм детект от GDATA (у них с F-Secure вроде один и тот же движок BitDefender'а под капотом, но детекты почему-то по разному называются, я хз, ожидал, что будут одинаковые). Касперский, как и раньше детектирует в рантайме, и (как и раньше) детект происходит на момент запуска файла после его дропа. При попытке запуска программа прибивается и отправляется в карантин. Забавно, но eicar так и остается в темпе лежать, когда свою прогу без крипта тестил не обратил внимание, оставался eicar лежать после детекта самой программы или нет. Остальные аверы (не на всех проверил, но много было), не спалили, но они и на некриптованную прогу не испытывали эрекцию.

F-Secure (скантайм)

GData (скантайм)

Norton 360 (скантайм)

Kaspersky Endpoint 10 (рантайм)

Kaspersky Endpoint 11 (рантайм)

 

[Haunt]

)

 

[blackteam007]

ген детекты это фигня ща уберу и чуть позже скину файлик
на дефендере проверял?