- Автор темы
- Добавить закладку
- #61
Скрытый контент для пользователей: .
Последнее редактирование:
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Обсуждение крипта на .NET
- Автор темы blackteam007
- Дата начала
Я проверю в понедельник, щас уже еду за город на выходные.
Да, на дефедере норм, но у меня и до крипта на дефендере не палилось, может что-то не так с его конфигурацией, тоже посмотрю в понедельник.
- Автор темы
- Добавить закладку
- #63
дефендер чистый эйкар файл палит! не надо говорить что дефендер у тебя его не палил основной файл он может у тебя и не палил я не проверял детект на чистый не криптованный эйкар поэтому не могу утверждать этого но точно знаю что тот файл который дропается в папку temp дефендер на него реагировал и удалял потому что там есть сигнатура! дефендера я тоже обошел ни скантайм ни рантайм не детектит файл ни основной ни тот который дропается поэтому всё чётко! ну как время будет чекни по возможности.
Последнее редактирование:
Да, на дефендере был скантайм детект моего тестового приложения, поэтому рантайм я не тестил.
Ну скантаймы GData и Norton360 отвалились. F-Secure продолжает палить в скантайме, поэтому проверить рантайм не могу, а Касперский продолжает палить в рантайме. Вообще говоря, я мельком посмотрел, чем второй семпл отличается от первого, я так понимаю, что кроме навесного обфускатора ты особо ничего не поменял? Если да, то в таком случае, я не понимаю, чем это должно было помочь от рантайм детектов по твоему? Я думаю, что для следующих тестов (если они будут) имеет смысл сконцентрироваться на этих двух антивирусах, так как оригинальное приложение, которое я делал, палилось в именно рантайме на них обоих.
F-Secure:
Kaspersky:
- Автор темы
- Добавить закладку
- #65
ты только на 4х антивирусах проверил?
если только на четырех тестировал то получается результат хороший так как из твоих проверяемых ав были убраны детекты от дефендера что самое важное чтобы не было палева со стороны дефендера от GData и от Norton360
эти 2 авера которые палят до сих пор их можно убрать если добавить веса файлу ген детекты убираются либо добавлением мусора либо иногда помогает избавится от них путем смены иконки и описания
рантайм на GData и Norton360 проверял? потому что мы обсуждали рантайм с тобой скантайм это х#йня надо именно рантайм тестировать
Последнее редактирование:
- Автор темы
- Добавить закладку
- #66
я на Ramp Админу еще отправил файлик другой на проверку "SafetyKatz" там у чистого не криптованного была ёлка посмотрим что он скажет
Ну скантаймы автоматом (скриптом) проверяются аверах на 13-14, наверное. На остальных и на запуск нужно руками проверять, это довольно муторно, но универсального решения для автоматизации я не знаю. Еще на некоторых виртуалках с аверами у меня нет фреймворка 4.0, на них не проверял на запуск (понятно, что ради такого случая мог бы и накатить его, но я слишком ленивый, а таких виртуалок слишком много). Ну и потом, спор же шёл по поводу рантайм детектов, поэтому я проверяю на тех, на которых у моего приложения был именно рантайм детект, а это Касперский и ФСекьюр. Я думал, что таких аверов будет больше, но имеем то, что имеем. Оказалось, что далеко не все считают дроп Икара в темп критичным.
От рантайм детектов тебе это не поможет. Мне все больше и больше кажется, что ты не особо понимаешь, как это в принципе работает у антивирусов. При этом орать на экспертов, что они (а не ты) не шарят - такое себе поведение. Скантайм от ФСекьюры, может, и уберется, но там еще был рантайм детект. Ну а у Касперского (в 11 эндпойнтах) даже заботливо пишут, что это анализ поведения сработал, а далеко не анализ иконки и мусора.
Да тут на форумах многие чего-то говорят и бьют себя тапком в грудь за какие-то заслуги, в таких случаях нельзя быть уверенным, пока сам не проверишь. Я же не знаю, что и как он там проверяет, может он вообще проактивку отрубил на прошлых тестах, забыл об этом, а теперь довольный сидит, что у него ничего не ловится. Кто же его знает? В этой теме конкретный пример: вот я проверяю, и как-то не вижу обхода рантайм детектов, хотя ты утверждаешь, что они есть.
- Автор темы
- Добавить закладку
- #68
ты сначала проведи тестирование чистого айкара без всяких обфускай и тд у тебя вообще все ав на него реагировать будут потому что в коде сигнатура как раз та которая прописывается в файл svchost.exe который как раз таки и дропается в темп папку
и как раз таки то что я описал это и помогает обойти рантайм детекты если бы я твоему файлу веса больше прибавил бы то каспер и фсекюр бы молчал и не реагировал на файл никак там тупо щас висит ген детект и все вес прибавишь его не будет
я это не от балды придумал а это все тестировалось не 1 день поэтому самый надежный вариант это не юзать стабовый крипт потому что он не шифрует основного кода любой малвари он шифрует только файл в последствии он его расшифровывает и запускает стабовый крипт как я думаю это почти тоже самое что и лоадер но у каждого свое мнение
если бы я не понимал того что я делаю и как я это делаю я бы не стал с тобой спорить
Последнее редактирование:
Как бы это давно было сделано, надо было внимательно читать тред:
Ну так прибавь и залей, какая проблема то? Не понятно, если это так легко, почему же ты до сих пор этого не сделал и я по сути впустую гоняю твои семплы якобы с обходом рантайма. Но я проверю, но опять же, чтобы проверять именно рантайм детект, который был у оригинального приложения от ФСекьюр, нужно чтобы твой "крипт в скантайме" не палился. Но да, можем забить на ФСекьюр и тестить только на Касперском, если желаешь.
Да скорее наоборот, если бы понимал, то и не спорил бы.
Имеем ситуацию.
Тебе дали на крипт приложение, которое дампит lsass. Тебе нужно это приложение закриптовать. Оно использует MiniDumpWriteDump в отношении lsass.
При запуске этого приложения, ты получаешь от AV/EDR сообщение
Violation: LsassRead
Допустим, AV/EDR сплайсит
NtReadVirtualMemory из ntdll.dll, которую использует MiniDumpWriteDump под капотом. Но твой криптор ничего не знает из вышеперечисленного. Это я тебе сейчас подсказал природу детекта. Но заранее ты не знаешь об этом. Как будешь этот рантайм детект обходить? И так, чтобы это было универсально, для любого приложения, которое теоретически может использовать любые API. Замечу, что это только ЮМ. Что будешь делать, если это у ав в КМ работает, если продолжать мысль?
Ещё пример хочешь?
Имеем стиллер. Тебе принесли на крипт. Ты сказал, что обойдёшь рантайм. Установленное на пк AV, палит и блокирует чтение файлов бд хрома и фаерфокса. Всем процессам, кто не является хромом и фф соответственно - блок на чтение и детект. Заинжектить всю апку в таргет процесс, для обхода блока ты не можешь, поскольку если заинжектишь в хром, будет детект на чтении файлов фф и наоборот. Криптуемое тобой приложение для тебя это атом. Алгоритмы криптуемого приложения разделять ты не можешь, так как оно для тебя чёрная коробка. В ином случае универсальность теряется. Поведай нам, как рантайм обходить будешь.
Имеем стиллер. Тебе принесли на крипт. Ты сказал, что обойдёшь рантайм. Установленное на пк AV, палит и блокирует чтение файлов бд хрома и фаерфокса. Всем процессам, кто не является хромом и фф соответственно - блок на чтение и детект. Заинжектить всю апку в таргет процесс, для обхода блока ты не можешь, поскольку если заинжектишь в хром, будет детект на чтении файлов фф и наоборот. Криптуемое тобой приложение для тебя это атом. Алгоритмы криптуемого приложения разделять ты не можешь, так как оно для тебя чёрная коробка. В ином случае универсальность теряется. Поведай нам, как рантайм обходить будешь.
- Автор темы
- Добавить закладку
- #72
я впринципе понял что вы слишком умные но по факту вы нихуя не понимаете
возьмем тот же стиллер допустим ты haunt говоришь что чтение бд детектится оно так и есть я не спорю даже возьмем например аваст и АВГ эти 2 авера у стиллера не криптованного детектят собранный файл cookies.txt, но если сделать все правильно то никакого детекта не будет и это я говорю не про скантайм а именно про рантайм но если сделать все правильно то кроме аваста можно убрать все детекты и без всяких ваших bypass amsi и прочей х#йни которе вы юзаете.
возьмем тот же стиллер допустим ты haunt говоришь что чтение бд детектится оно так и есть я не спорю даже возьмем например аваст и АВГ эти 2 авера у стиллера не криптованного детектят собранный файл cookies.txt, но если сделать все правильно то никакого детекта не будет и это я говорю не про скантайм а именно про рантайм но если сделать все правильно то кроме аваста можно убрать все детекты и без всяких ваших bypass amsi и прочей х#йни которе вы юзаете.
WhiteDragon а что тут такого смешного тебе любой кодер может сказать что ген детекты в основном они вешаются на иконку и на описание файла иногда как я и говорил выше чтобы избавится от ген детектов помогает смена иконки и описания файла. ничего смешного тут нету строите из себя самых умных а по факту даже элементарных вещей не понимаете или не хотите понимать не знаю
По факту ты уже дважды оподливился на тестах еикара. А ещё по факту ты не ответил ни на один из выше поставленных вопросов. Зато успел сказать, какие мы все тут некомпетентные, а ты д’Артаньян. Все что от тебя слышно «нихуя не понимаете», «если сделать все правильно», так что не утруждайся, мы уже поняли какой на словах ты Лев Толстой
. В принципе на этом можно и закончить, потому что в обсуждении техническом ты просто не вывозишь, Ни со мной, ни с DildoFagins. А слушать твой ЧСВ бред надоело. Я выше четко дал 2 примера и обозначил проблему. На что не услышал ответ. Если что, вот это не ответ. И не техническое обсуждение.Если ты действительно обходишь рантайм, ты можешь описать какими методами (в общем) и адекватно аргументировать, каким образом ты обойдёшь детект авера, если он вешает детект на вызов определенной функции в криптуемом тобой софте. Но ты не можешь. Вот и весь диалог.
Какой ещё cookies.txt? Тебе задали конкретный вопрос о чтении БД браузеров не из процесса самого браузера.
Ясно, так и сделаем.
Я не понял, тебе тут все говорили, что ты не сможешь обойти рантайм детект, и теперь ты обиделся на всех, что не смог обойти рантайм детект?
Ну мне очень смешно, если честно. В том же Касперском даже пишут, какой именно модуль привел к детекту (Reason: Behaviour Analysis), а ты продолжаешь про иконку и описание заливать. Но ладно, в общем я могу по сути бескончено проверять твои семплы. Поменяй иконку и описание, так чтобы рантайм детекты обойти и высылай мне, я проверю. Можешь даже для простоты про скантаймы ФСекьюра забыть, только для Касперского правильную иконку поставь, чтобы не палил.
- Автор темы
- Добавить закладку
- #76
Да причем тут вообще иконка если бы вы оба знатоки бля смотрели бы ровно то небыло бы таких глупых вопросов про иконку))
на счет иконки если бы ты шары свои раскрыл нормально то увидел бы то что я имел ввиду! а то что ты не понял этого или не захотел понять что я имел ввиду то это твои проблему.
И Не надо обобщать что я про всех тут говорю речь в этом обсуждении велась только с двумя вами вы же строите из себя самых умных а по факту все че вы могете это чтение между строк и троллинг вот и весь разговор.
Ты бы помешь воздух сотрясал, а побольше дел делал. Ты еще пытаться будешь обходить рантайм детекты или сдался?
- Автор темы
- Добавить закладку
- #78
Русские никогда не сдаются на днях сделаю не проблема
щас пока времени свободного нет
и никогда не обобщайте когда диалоги ведут с вами не надо приплетать сюда вообще всех
а то вы как обиженки себя ведете
Всё будет крипт потому, что качественно, главное правильную иконку поставить и правильное описание прикрепить, да и вообще, если всё правильно сделать, то всё будет правильно, тебе любой кодер может сказать.
- Автор темы
- Добавить закладку
- #80
шутник)))
кроме как тролить на что то большее ты способен? ты если такой спец на дуде игрец сделай крипт правильный или зассал?
давай через пару дней я дела все закончу устроим состязание кто из нас прав а кто нет либо ты либо я?
Ставка 100$
или ты только тролить умеешь?
суть такая берешь чистый файл эйкара и криптуешь его так как ты умеешь
и я беру чистый файл эйкара и тоже криптую его так как я это делаю
в конце соревнования когда твой и мой крипт будет готов дадим на проверку оба файла ком нибудь более адекватному не тому кто умеет только тролить а тот кто реально может это все проверить на всех антивирусах?
Если я проебываю соревнование то я выплачиваю тебе сотку а если ты проебываешь то ты просто извиняешься что ты был не прав