Ликвидация антивирусов

Discussion in 'Безопасность и Анонимность' started by GivioN, 4 May 2008.

  1. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    Приветствую всех вирусописателей. У меня возникла мысль создать тему о способах устранения работоспособности антивирусов. В этой теме будем рассматривать как можно устранить такую функция антивируса как обнаружение вирусов. Желательно так чтобы антивирь визуально работал, но не обнаружал. Учитываются такие способы как удаление каких-либо файлов, замена файлов антивируса, обработка файлов вшитым кодом и т.п.
    рассматриваются следующие антивирусы: Dr.Web, NOD 32, Avast, антивирус Касперского. У каго есть знания на эту тему пожалуйста выкладывайте. И при ответе указывайте версию антивиря. :D

    P.S. И попрошу не постить тему пустыми сообщениями. :(
     
    2 people like this.
  2. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    Ммм... Криптование?
    В нормальных современных аверах стоит проверка на модификацию и прочее. Заколебешься обходить.

    Читай про Ring 0.
     
  3. spider-intruder

    spider-intruder Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    700
    Likes Received:
    339
    Reputations:
    37
    Что то мне подсказывает что ни одного дельного совета здесь не будет -
    GivioN то что ты просишь это наш ХЛЕБ, а поскольку его мало и все мы голодны то делиться им никто не собирается :)
     
    #3 spider-intruder, 4 May 2008
    Last edited: 5 May 2008
    1 person likes this.
  4. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    689
    Likes Received:
    484
    Reputations:
    4
    GivioN Попробуй скачать криптор в разделе про крипторы. Это тебе даст ->
    Т.е. обрабатывается сам вирус, а не антивирус! :) А обрабатывать\портить антивирус слишком не универсально...
     
    2 people like this.
  5. spider-intruder

    spider-intruder Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    700
    Likes Received:
    339
    Reputations:
    37
    Если тебя просто интересует обход антивирусов а не модификация с целью отключения работоспособности, то тебе действительно нужно копать в сторону криптования тела вирусов, если речь идет о сигнатурном анализе, или снятие перехвата с системных функций и таблицы сервисов, если нужен обход проактивной защиты
    +читай про методы ухода из под отладки, Seh, Veh, антидамп и т.п. и.т.д.

    Удачи!
     
  6. Dr.KoD

    Dr.KoD Elder - Старейшина

    Joined:
    1 Mar 2008
    Messages:
    68
    Likes Received:
    22
    Reputations:
    1
    Самым лучшим методом обхода антивирусов является работа в r0, но для написания того, что нужно тебе метод копи паст уже несовсем катит, придется пошевелить своим мозгом, в качестве примера можно посмотреть статьи Ms-Rem'а, единственный недостаток это то, что писать надо на сях, можно конечно и на Delphi, но информации по написанию кода для работы в r0, особо ненайдеш, опять же кроме статей Ms-Rem'а и примера на рсдн невстречал.
    Если кто знает где еще можно почитать о работе в r0 на delphi, буду рад увидеть ссылочки.
    Второй способ это внедрение в доверенное приложение, ну о этом способе написано очень много, но все паблик методы палятся антивирями, так что тут придется тоже подумать собственными извилинами.
    Еще оодин способ это замена системных файлов на свои, об этом методе я вообще молчу.
    О реальных способах обхода антивирусов и фаерволов, специалисты стараются помалкивать, т.к. это ихний хлеб, как кто то тут уже писал.
    Ну если конечно какойнить добрый дядька хотябы намекнет, где можно более конкретно и подробно почитать, о таких фишках буду рад ну, а если нет так нет, будим дальше грызть гранит, в поисках способов ставящих антивирусы и фаеры в позу зю ;) :D
    з.ы. все эти маневры нужны в основном для прописания проги в автозапуске и скрытной отправки файлов.
     
    1 person likes this.
  7. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    Нет. Криптование как известно только скрывает виря(изменяет сигнатуру), но никак не устраняет функциональность аверя.(это является ответом троим выше перечислинным участникам темы)

    Первый раз слышу... Но всё таки обойти реально.

    А мне кажется этот способ очень даже профессиональный.

    Так что будем работать....
     
  8. Dr.KoD

    Dr.KoD Elder - Старейшина

    Joined:
    1 Mar 2008
    Messages:
    68
    Likes Received:
    22
    Reputations:
    1
    Реально!!!
    Да нефига он непрофессиональный, опытный юзверь сразу поймет, что что то не то когда увидит как у него вылетел антивирь после запуска твоего файла, нужно делать так чтобы у юзверя оставалось впечатление полной защищенности ;), а так представь массово рассылаеш свой файлик из 10 ламеров нашелся 1 супер юзверь, который приметил чет неладное(отрубание авера после запуска файла) и все амба накрылся твой способ медным тазом, да и сам вирь тож, т.к. с большой долей вероятности этот файл попадет в антивирусную контору, да и файлик уже твой никто нескачает и не запустит, придется опять чет новое мастерить.
    мда печально, что наши работы никто никогда не увидит и не узнает, что это зделал именно ты или я или еще кто то, хотя со временем может и появятся, когда способы станут неактуальны :d ;)
     
  9. Zedo83

    Zedo83 Elder - Старейшина

    Joined:
    14 Jul 2007
    Messages:
    85
    Likes Received:
    13
    Reputations:
    -1
    это вообще не антивирусы :) хотя с вэбом могут быть проблемы.
    криптуем, как уже тут советовали
     
  10. LynXzp

    LynXzp Elder - Старейшина

    Joined:
    21 Oct 2007
    Messages:
    147
    Likes Received:
    22
    Reputations:
    0
    Почитай Криса Касперски, он много чего написал на эту тему, правда со стороны защиты антивируса, в часности:
    • *что-то совсем не найду - название статьи не соответсвует содержанию, внутри статьи с безобидным названием кроются гениальные идеи*
    • Ввод в код незначимых "сложных" инструкций - SSE/MMX - по словам Криса, антивири их вообще не переваривают и встретив пропускают проверку. Желательно бы использовать много разных в зависимости какие может поддерживать процессор, а если ничего не может - то лажа - нам подсунули виртуальную машину антивируса и нужно просто "красиво" отработать и завершится. <-- Я бы именно на это обратил очень много внимания.. использовал бы всякие DirectX 9/10, Open GL навороченные функции , недокументированные но безобидные API - пусть виртуальная машина антивиря захлебнятся - с таким кодом вирус выловят нескоро - по крайней мере на много дольше ему будет жить чем обычному.
    • Бронижелет для файрвола (Xakep январь)
      Это сдесь или в других статьях описывается что можно файрлом/антивирем управлять как скрипты управляют приложениями - т.е. появилось окошко "кряк - удалить/пропустить" - вирь его скрывает и сам нажимает. Правда он должен был запустится перед этим, поэтому необходимо писать два "виря" - один - тело которое только скрывает окошко "кря" - другой выполняет наш вредоносный код. Также можно себя добавить в исключения, а как только юзверь посмотрить исключения - убрать себя от туда :)
    • Есть отличная статья про руткиты, там описан принцып действия руткита который невозможно выследить, но он убивался после перезагрузки + довольно сложно написать
    • В одной статье он упомянул о вирусах которые скрываются от файлома и регмона - на самом деле - просто модифицируют их память - на предмет вывода данных.
    Также могут помочь:

    Собственные идеи и комментарии выделил жирным.

    З.Ы. Вот если бы все такие темы были бы на ачате, я бы сдесь и днем и ночью пропадал, а то одни игрушки.. (пинчи, крипторы,... - разве для ХАКЕРА это не игрушки? не более)
     
  11. Dr.KoD

    Dr.KoD Elder - Старейшина

    Joined:
    1 Mar 2008
    Messages:
    68
    Likes Received:
    22
    Reputations:
    1
    С каким антивирем и могут быть проблемы так это с каспером если врубить всю защиту на полную, то обойти можно только помощью r0 или внедрения в доверенную прогу, ну может еще какой способ, который никто не выложит в паблик.
    Крипт неспасает от одного, от проактивной защиты, т.к. записать прогу в автозапуск хоть при супер продвинутом крипте файла вируса уже не получится стандартными методами, так что криптор был и будет являться приятным дополнением к самому вирусу затрудняющим его изучение и обнаружение, ну это конечно актульно для серьезных вирусов(троянов для обнуления виртуальных кошельков, для полного постоянного контроля компов юзверов, ну и т.д. и т.п. ), а для кражи понравившейся аси или каких либо др. мелочей(на которых тож можно поднять баблосов) сойдут и обычные паблик вирусы предварительно закриптованные, если что то неустраивает в них, то без особого труда можно написать вирус, который будет удовлетворять тебя на все 100%, но первым его недостатком будет то что он будет запускаться только 1 раз на компе жертвы(как правило этого достаточно в некоторых случаях :) ), а 2 его минус в том, что если у юзверя стоит фаервол(стандартный виндозный неактуален), то тут подстерегает облом т.к. отчеты с файлами нефига к тебе не дойдут!!!
     
  12. brasco2k

    brasco2k Elder - Старейшина

    Joined:
    23 Nov 2007
    Messages:
    258
    Likes Received:
    91
    Reputations:
    0
    Слушай Глоффа он дело говорит и еще купи с него криптор(сам не юзал,но говорят хороший). Не морочь себе голову, каждый день новые антивирусы выходят - не уследишь :) -не спортивно :)
     
  13. Dr.KoD

    Dr.KoD Elder - Старейшина

    Joined:
    1 Mar 2008
    Messages:
    68
    Likes Received:
    22
    Reputations:
    1
    Вся фишка в том, что критор не спасает от проактивки!!!
    а антивирусы конечно же не палят криптованых вирусов? :)
    Со временем и такой вариант палится, а если вирусняк написан с нуля(да даже чуток модифицированный) то его и без криптовки ни 1 авер палить не будет!!!
     
  14. nepster

    nepster Elder - Старейшина

    Joined:
    14 Jan 2008
    Messages:
    96
    Likes Received:
    14
    Reputations:
    -1
    У меня антивирь вырубает обычный ксинч. Но вырубает только визуально , он остается в системе , но не может обрабатывать файлы.
     
  15. Zedo83

    Zedo83 Elder - Старейшина

    Joined:
    14 Jul 2007
    Messages:
    85
    Likes Received:
    13
    Reputations:
    -1
    да, если говорить в контексте серьезных троев, руткитов
    то тут проактивные технологии встают на пути
    незабываем что многие фаерволы сейчас оборудованы HIPS

    касаемо проактивки Дяди Жени я тут 8 версию смотрел,
    так ее можно просто удалить из системы незаметно для юзера. софт для этого есть в паблике
     
  16. Dr.KoD

    Dr.KoD Elder - Старейшина

    Joined:
    1 Mar 2008
    Messages:
    68
    Likes Received:
    22
    Reputations:
    1
    ну и что я со своим троем буду таскать постоянно ксинч? ;)
    Это как то не по хацкерски получается, использовать то, что зделали другие любой может, а вот поди сам нарой какойнить способ да еще и напиши грамотный код.
     
  17. KPOT_f!nd

    KPOT_f!nd положенец общага

    Joined:
    25 Aug 2006
    Messages:
    1,074
    Likes Received:
    502
    Reputations:
    65
    GivioN ты hidden, TAHA отпиши они вэтом деле секут хорошо..
     
  18. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    Жертва даже и не поймет что её аверь работает в холостую.

    зачем так усложнять?!! можно этот самый вредоносный код внедрить в наш вирус, при запуске которого обработает аверя. Да и потом, мы не расмотриваем способ скрытия вируса криптором, как уже говорилось, проактивка палит его. Поэтому актуальный способ будет ликвидация аверя. Это даст нам 100% скрытие в любых системных поцессах, которые выполнит вирь. А криптор можно использовать чтоб первоночально запустить виря...
     
  19. LynXzp

    LynXzp Elder - Старейшина

    Joined:
    21 Oct 2007
    Messages:
    147
    Likes Received:
    22
    Reputations:
    0
    GivioN, и то верно, но разве антивирус когда "спалит" наш вирус не "заморозит" процесс?, тогда скрывать окно с сообщением "кря" будет некому.
     
  20. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    LynXzp, согласен. Поэтому твой способ про кряк безперспективный. Нужно искать альтернативный вариант, более простой, более профессиональный...
     
    1 person likes this.