Вот пишу крипт возникла проблема,подскажите что делать с ав которые HEUR/Crypted Вроде все норм:шифрую add,sub+вставляю антиэмуль,разбавляю мусором а не все равно PHP: Antivirus;Version;Last Update;Result AhnLab-V3;2007.9.8.0;2007.09.07;- AntiVir;7.6.0.5;2007.09.08;HEUR/Crypted Authentium;4.93.8;2007.09.07;- Avast;4.7.1043.0;2007.09.08;- AVG;7.5.0.485;2007.09.08;- BitDefender;7.2;2007.09.09;- CAT-QuickHeal;9.00;2007.09.08;(Suspicious) - DNAScan ClamAV;0.91.2;2007.09.09;- DrWeb;4.33;2007.09.08;- eSafe;7.0.15.0;2007.09.04;- eTrust-Vet;31.1.5119;2007.09.08;- Ewido;4.0;2007.09.08;- FileAdvisor;1;2007.09.09;- Fortinet;3.11.0.0;2007.09.08;- F-Prot;4.3.2.48;2007.09.07;- F-Secure;6.70.13030.0;2007.09.08;- Ikarus;T3.1.1.12;2007.09.09;Trojan.Peed Kaspersky;4.0.2.24;2007.09.09;- McAfee;5115;2007.09.07;- Microsoft;1.2803;2007.09.09;- NOD32v2;2515;2007.09.09;- Norman;5.80.02;2007.09.07;- Panda;9.0.0.4;2007.09.09;Suspicious file Prevx1;V2;2007.09.09;- Rising;19.39.62.00;2007.09.09;- Sophos;4.21.0;2007.09.09;Mal/Basine-C Sunbelt;2.2.907.0;2007.09.07;VIPRE.Suspicious Symantec;10;2007.09.09;- TheHacker;6.1.10.182;2007.09.08;- VBA32;3.12.2.4;2007.09.08;- VirusBuster;4.3.26:9;2007.09.08;- Webwasher-Gateway;6.0.1;2007.09.08;Heuristic.Crypted
1. поо4ередно пробовать "подбирать" конкретный метод крипта под каждый аверь, который выдает аларм по эвристике 2. реверсить ядра каждого аверя и смотреть на каком проходе выдается аларм =\
охуенно ты "норм" шифруешь, add,sub и т.п. гыг "норм" - это, например сделать какой-нибудь обработчик исключений, расшифровывающий тек. инструкию и превращающий ее в соотв. набор инструкций, + рендомные джампы в обработчике и самом коде и все это закриптовано рендомным ключем, который получается в результате выполнения каких-то "неэмулироваемых" действий. я типа тоже понтанулся как протеус в пункте 2 (реверсить ядро антивируса) гыг
я реверсил AntiVir, хех он выносит подозрение HEUR/Crypted основываясь на анализе имён секций, их характеристик, директории импорта, расположении ер и что-то ещё)) не помню уже... как вариант можно закосить под какой-нибудь пакер/прот =) известный этому ав...
Писал я как-то модуль Криптовки и если использовать команды компилятора: то анитивири вели себя подобным образом "Suspicious file", отсюда можно сказать, что антивири палят по правам на секции и коду который что-то делает с этой секцией (характеристики)! В частности догоняют что тут что-то криптовано "HEUR/Crypted"! И вообще есть даже сигны троянов "Trojan.Peed","Mal/Basine-C" ... Выводы: 2. Плохой антиемуль! 3. Попробывать другие методы шифровки! (Можно ror \ rol попробывать) 4. Пробывать, пробывать, пробывать
zl0y Вот интересно немного пишут про "Heuristic Scanning" http://www.securityfocus.com/infocus/1542 http://www.mcafee.com/common/media/vil/pdf/imuttik_VB_%20conf_2000.pdf // С условием знания engl
> /SECTION:.text,EWR Поставь секции нужныы доступ через VirtualProtectEx А импорт вообще можно не оставлять - стройте его динамически вручную Короче почитал я все это и понял что далеко вам ещё до написания пакеров/криптеров
kez Ну а может быть в написании чего-то стоящего и более серьезного и происходит наиболее продуктивный процесс саморазвития
Кстати, с помощию VirtualProtect легко обходится нашумевшая защита от исполняемого кода в стеке, названная DEP. Насчет импорта - это совершенно верно, хотя для большинства это так и останется словами. Например большое количество "троянов" я отсеиваю обычным открытием файла в блокноте и просмотре таблицы импорта. Насчет крипторов, к сожалению это тенденция к написанию поли-крипторов всеми, кто еще и ассемблер не освоил нормально не может не огорчать.
