فرار کردن از دست AV ها...
سلام،
امروز سعی کردم که با تغییر دادن Signature یک فایل از دسته Kaspersky-AV فرار کنم.
با استفاده از روشی که Inprise برای فرار از Detector ها توضیح داده بود در یک Clip.
اما علاوه بر اینکه AV کد رو Detect کرد یک Warning هم داد که Signature هاش
رو به روز کنم.
میخواستم از دوستان بپرسم که چطور میشه با تغییر دادن فایل از دسته AV ها فرار کرد؟؟
اگر روشی رو میدونن واقعاً ممنوم میشام اگر به من کمک کنید.
PE Sig Detector ها خیلی محدود هستن و ساختار پیچیده ای ندارن و فریب دادنشون چندان دشوار نیست اما آنتی ویروسهائی مثل KAV ساختار پیچیده ای دارن و از روشهای ترکیبی برای شناسائی ویروسها استفاده میکنن ؛ با تغییر EP فایل و اضافه کردن دو تا جامپ نمیشه براحتی فریبش داد .
قاعدتا" بهترین راه برای پنهان ماندن از دید آنتی ویروس اولا استفاده از یک پکر شحصی است که موتور AV موفق نشه بسادگی Unpack اش کنه ، و دوما" استفاده از روشهائی است که باعث میشه کد در زمان اجرا کمترین مبادله رو با دیسک داشته باشه . malware های پیچیده معمولا تلاش میکنن پس از اجرا شدن Loader و دریافت کد باینری اصلی مثلا" از طریق شبکه و بازسازی اون روی حافظه بدون نوشته شدن روی دیسک ابتدا میزان مجوز موجود رو بررسی کنن و در صورت امکان روتکیت کرنل مودشون رو نصب کنن که با هوک *Zw های مهم حتی جلوی عملکرد صحیح درایورهای آنتی ویروس رو بگیرن ، و ... بقیه اش دیگه به شرایط و موقعیت بستگی داره .
در مجموع قدم اول داشتن یک پکر به اندازه کافی خوب هست . کدی که موفق بشه از on-demand scanner یک آنتی ویروس عبور کنه ، شانس زیادی برای بقا داره .
UNIX is simple. It just takes a genius to understand its simplicity
-- Dennis Ritchie
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول