Schování před antivirem...

HackForum

Schování před antivirem...#
Zdravím, asi začátečnický dotaz. Ale potýkám se s porblémem, že mou aplikaci NOD rozpozná okamžitě po přijmutí do pc. Zajímalo by mě, jestli je třeba si pohrát s knihovnama co prg využívá a celkově kodem, nebo existuje něco jako obfuscator, už pro kompletní exe? Asi blbost co? :-D

//prg.j. delphi
(odpovědět)
30.9.2011 9:17
re: Schování před antivirem...#
nieje to blbost, skus googlovat FUD crypter :-)
(odpovědět)
squo | 78.128.182.*1.10.2011 10:39
re: Schování před antivirem...#
Tak obecně existují packery, které vezmou instrukce tvého programu, zabalí je do určité obálky, na začátek připojí unpacker a výsledek uloží.

Co se obálky týče, může se jednat o zmenšení velikosti (UPX třeba), šifrování, záměnu instrukcí a vkládání odpadního kódu, nebo polymorfní packer, takže kód bude vždy jiný.

O moc víc ti o tom neřeknu, protože jsem to ještě nepotřeboval.
(odpovědět)
Bystroushaak_ | 46.135.89.*1.10.2011 17:38
re: Schování před antivirem...#
Bystroushaak_: niesom si teraz isty, ale packer sluzi hlavne na zmensenie velkosti programu, nie na jeho zneviditelnenie...
(odpovědět)
squo | 78.128.182.*1.10.2011 23:12
re: Schování před antivirem...#
Dotaz zněl: "nebo existuje něco jako obfuscator, už pro kompletní exe?"

Tedy to co jsem popsal. Zabrání to samozřejmě hlavně statické analýze.
(odpovědět)
Bystroushaak_ | 87.106.2.*2.10.2011 10:34
re: Schování před antivirem...#
UPX urcite nezkousej, tak ti ten program detekuje jeste vice antiviru ;)
(odpovědět)
Emkei | E-mail | Website | PGP2.10.2011 0:08
re: Schování před antivirem...#
Nj. Je to dost paradoxní, vzhledem k tomu že se jedná jen o packer který navíc prakticky všechny AV umí unpacknout.
(odpovědět)
Bystroushaak_ | 87.106.2.*2.10.2011 10:38
re: Schování před antivirem...#
"UPX urcite nezkousej, tak ti ten program detekuje jeste vice antiviru ;)"

lulz statement
(odpovědět)
wvi | 83.167.232.*2.10.2011 10:38
re: Schování před antivirem...#
Co já vím, tak je to pravda. Některé AV prostě UPX unpacker berou automaticky jako malware.
(odpovědět)
Bystroushaak_ | 87.106.2.*2.10.2011 10:41
re: Schování před antivirem...#
co si to treba zkusit a nedelat ze sebe debila? ;)
(odpovědět)
Emkei | E-mail | Website | PGP2.10.2011 12:36
re: Schování před antivirem...#
Emkei: ffs, ukaz mi jedinej priklad kdy AV nechyta malware binarku a potom co ji zabalis upxem ji chyta. to by byl asi hodne hustej homemadelame antivir co nema vlastni sadu unpackeru a detekuje common decompress/decrypt stuby beznejch packeru. btw nezajmaj me AVcka typu "Prevx" , "PCTools" etc .. point your finger at real AV vendor plz;
(odpovědět)
wvi | 83.167.232.*2.10.2011 12:53
re: Schování před antivirem...#
to je prece uplnej nesmysl, upx je strasne common packer co pouziva milion developeru ke kompresi zkompilovanejch binarek, pokud by byla pravda ze binarka zabalena upxem je automaticky brana AVckama jako malware tak tu mame neskutecnej pocet false_positives a uzivatele by hodne rychle zacli na takoveto AVs hazet bobek ;) pokud se jedna o pure UPX se std unpacker stubem na entrypointu tak to jednoduse kazdej antivir rozbali a scanuje se dal objekt pod tim. nelze detekovat znamy stuby u rozsirenejch/komercnich packeru protoze se tim casto bali legit software.
(odpovědět)
wvi | 83.167.232.*2.10.2011 12:39
re: Schování před antivirem...#
wvi: ty jsi vazne sasek, proc si to NEVYZKOUSIS a delas ze sebe vola? kdyz posles na VirusTotal netcat, detekuje ho 27/43 (62.8%) antiviru, kdyz ho navic zabalis pomoci UPX, detekuje ho nahle 31/43 (72.1%) antiviru.
aby ti doslo, jake tady meles kraviny, tak si zkus analyzovat windowsackou kalkulacku. normalne ji nedetekuje logicky zadny antivir, po zabaleni UPX ji detekuje uz 5 antiviru, mezi kterymi je napr. i AVG, takze zadne minoritni AVs.
(odpovědět)
Emkei | E-mail | Website | PGP3.10.2011 16:48

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode