Генерация "легетимной" IAT?

[atavism]

В общем, пытаюсь потихоньку разбираться в технологии крипторов (а заодно и что-то свое написать пробую (до елочек еще не дошло)). И, немного не понимаю, что еще можно брать для генерации подобного "контента", помимо user32.dll, ole32.dll, comctl32.dll и некоторых вещей из advapi32.dll. Есть ли еще что-то, что можно использовать для генерации фейковых импортов?
Буду благодарен за ответы на такой "профанирующий" вопрос!

 

[DildoFagins]

user32.dll, ole32.dll, comctl32.dll и некоторых вещей из advapi32.dll

gdi32.dll, если хочешь эмитировать IAT графического приложения, всякие ole32.dll и oleaut32.dll если типа приложение, работающее с COM и тд, зачем себя ограничивать?

елочек еще не дошло

Похоже, чтобы познать такие элитные техники, нужно заставить себя слушать ауе репчик регулярно. Это тяжело, но элитные техники - это элитные техники, может, имеет смысл пойти на такие жертвы.

 

[fedor_shkafchik]

Похоже, чтобы познать такие элитные техники, нужно заставить себя слушать ауе репчик регулярно. Это тяжело, но элитные техники - это элитные техники, может, имеет смысл пойти на такие жертвы.

""В январе 2020 году открыл в Казани кафе формата стритфуд «Шаурма на районе», в том же году кафе было признано лучшим в формате стритфуд по версии читателей журнала Enter.""

Такой путь дано пройти не каждому

 

[Quake3]

Есть ли еще что-то, что можно использовать для генерации фейковых импортов?

Смотри обычные белые проги и копируй оттуда. Скачай прогу pestudio , в ней есть список т.н. blacklisted apis. Т.е. функций, которые аверы не любят, типа урлдаунлоад, lstr** и т.д.
Обязательно нужны связки апи, т.е. чтобы была логика ; если у тебя в импорте будет send без wsastartup или там writefile без createfile (да , я знаю про пайпы и прочее), то это плохо.

 

[Quake3]

но пока к конкретному трешгену не дошел

посмотри сорцы криптора Octavian , вроде там что-то было на эту тему (не помню).

 

[Octavian]

Лучший способ это мимикрия, как импорта так и ресурсов, секций.
Берем какой-то весьма легитимный бинарик, и клонируем его импорт. (Свой ведь мы динамически ищем и левые винапи у нас естественно не появляются, да?))
Клонируем ресурсы, соблюдаем имена, порядок секций и их соотношение, размеры, как у легитимного бинарика, лучше, если компиляторы одинаковые.
И уже кучи дженериков не будет.

 

[merdock]

Смотри обычные белые проги и копируй оттуда. Скачай прогу pestudio , в ней есть список т.н. blacklisted apis. Т.е. функций, которые аверы не любят, типа урлдаунлоад, lstr** и т.д.
Обязательно нужны связки апи, т.е. чтобы была логика ; если у тебя в импорте будет send без wsastartup или там writefile без createfile (да , я знаю про пайпы и прочее), то это плохо.

тему подниму. Я вот прочитал и очень разочарован, я видимо один идиот который внедряет функции АПИ в исходники в рандомном средней плотности порядке, и потом тестировал на статику чтобы выявить плохие функции. А тут оказывается проще - можно было спи**ть у легетимного приложения или посмотреть списки в уже готовом софте.

 

[Octavian]

Всё не совсем так.
Нет однозначано блекнутых и вайтовых функций - это домыслы (фичи) пе студио.
Есть логика эвристиков, которые считают (например), что чтение и запись в чужой процесс или создание нового процесса + Get\SetThreadContext это плохо и похоже на малварь.
Но исключительно по списку апи функций в таблице импорта детект никто ставить не будет.
Всегда важна совокупность факторов. Например версия инфо+манифест+ресурсы+карта апи вызовов+статистика опкод+энтропия=норм софт, даже если в нём будут все блеклистовые апи функции, но он ранее не был замечен в малварных делах.
Изичите что такое imphash.
Так что просто тупо перенять список винапи и добавить к себе, забив на остальные признаки, это бесполезно.

 

[256Code]

Всё не совсем так.
Нет однозначано блекнутых и вайтовых функций - это домыслы (фичи) пе студио.
Есть логика эвристиков, которые считают (например), что чтение и запись в чужой процесс или создание нового процесса + Get\SetThreadContext это плохо и похоже на малварь.
Но исключительно по списку апи функций в таблице импорта детект никто ставить не будет.
Всегда важна совокупность факторов. Например версия инфо+манифест+ресурсы+карта апи вызовов+статистика опкод+энтропия=норм софт, даже если в нём будут все блеклистовые апи функции, но он ранее не был замечен в малварных делах.
Изичите что такое imphash.
Так что просто тупо перенять список винапи и добавить к себе, забив на остальные признаки, это бесполезно.

окт, а что ты имеешь в виду под картой апи вызовов? просто интересно. места, где располагаются вызовы импортов? чтобы они не стояли в одном месте?

 

[reqwest]

окт, а что ты имеешь в виду под картой апи вызовов? просто интересно. места, где располагаются вызовы импортов? чтобы они не стояли в одном месте?

Предпологаю речь о цепочке WinApi-вызовов и их палевности. К примеру из runpe - CreateProcess(..., CREATE_SUSPENDED, ...) -> GetThreadContext() -> SetThreadContext() - достаточно уникальная цепочка вызовов, чтоб стать редфлагом для ав.

 

[Octavian]

окт, а что ты имеешь в виду под картой апи вызовов? просто интересно. места, где располагаются вызовы импортов? чтобы они не стояли в одном месте?

Если представить последовательность вызовов винапи как граф, то для определенных семейств малвари они тождествены, так например легко идентифицируются образцы малвари под криптом. Следовательно _ваша_ задача _размыть_ этот граф так, чтобы он стал однозначно не идентифицируем движком апи логера ав под конкретное семейство или известную последовательность, знакомую им. Следовательно тут можно использовать не стандартные вин апи вызовы, прокладки, альтернативы, скрывать их (много техник вроде райских ворот етц), вызывать нарушение в стеке, использовать неблокируемые задержки и т.д..

 

[Kernel32dll]

del