Как спрятаться от runtime детектов?

[DildoFagins]

При чём тут итерации - не очень понятно.

Он имел ввиду эмуляторы антивирусов, они ограничены по количеству итераций эмуляции инструкций малвари. В нормальном понимании это все же scantime, а не runtime детекты. Он просто не разбирается в теме, чего с простого электрика из белорусской глубинки взять? Так что не парься.

 

[GayFox]

Он имел ввиду эмуляторы антивирусов, они ограничены по количеству итераций эмуляции инструкций малвари. В нормальном понимании это все же scantime, а не runtime детекты. Он просто не разбирается в теме, чего с простого электрика из белорусской глубинки взять? Так что не парься.

в каком нармальном понимании scantime это runtime если просто еxe зашифровать и прописать в стаб код зашифровонного exe то моем понимание scantime будет FUD 0/26 а вот при запуске это как ты писал выше по сигнатурному анализу будут палить

 

[GayFox]

в каком нармальном понимании scantime это runtime если просто еxe зашифровать и прописать в стаб код зашифровонного exe то моем понимание scantime будет FUD 0/26 а вот при запуске это как ты писал выше по сигнатурному анализу будут палить

а можно как то определять сам код который палится (сигнатурку ) например при дебаге VisualStudio и переписать его?

 

[st4s]

в каком нармальном понимании scantime это runtime если просто еxe зашифровать и прописать в стаб код зашифровонного exe то моем понимание scantime будет FUD 0/26 а вот при запуске это как ты писал выше по сигнатурному анализу будут палить

А если не просто зашифравать, а разобраться, как происходило развитие техник атаки и защиты:
1. Сначала был exe, а в нём строка "Hack the Planet!". Антивирус считал exe в память, вызвал функцию scan_mem(), обнаружил строку, выдал алерт.
2. Для exe создаётся "конверт", криптор (stub - если кто не знал - это термин, означает "нереализованный функционал", "заглушка"; например MS-DOS stub). При запуске расшифровывает exe. Антивирус ничего не видит.
3. Ответным ходом в антивирус добавляются:
а) сигнатуры "конверта" - но конверт легко сменить и эта ветка эволюции для антивируса неэффективна.
б) эмулятор процессора - он исполняет код криптора без запуска exe, после чего вызывается scan_mem(), выдаётся алерт.
4. Теперь "конверт" превращается в "протектор" - добавляются нюансы, которые затрудняют эмуляцию, расшифровка не происходит и scan_mem() ничего не находит.
5. Ответным ходом антивирус делает финт ушами и применяет старинную технику снятия протекторов, известную как дамп - запускает exe, даёт протектору расшифровать, а потом в какой-то момент вызывает scan_mem(), выдаётся алерт.
Вот тут возникают непонятки, экзешник запущен, значит это рантайм? Но по факту написать качественный эмулятор может не каждый, потому сигнатурный анализ проводят ещё и после запуска. Да и зачем напрягаться, если оно даёт детекты? На этом нюансе держится индус-трия: каждый день делаются крипты по 30 шекелей, антивирусы добавляют миллионы детектов, юзеры покупают новые версии - всем выгодно Если же призадуматься, это тупик; заодно становятся понятно, о чём пишут в темах про обфускацию с использованием LLVM. Чистый рантайм детект - это анализ поведения, в первом сообщении темы о нём и речь.