Цитата:хотел уточнить: допустим, если криптуем троя с известной антивирусам сигнатурой каким-нибудь криптором, и антивирусы его больше не обнаруживают, затем, при запуске этого троя, он инжектирует себя в какой-нибудь процесс и создает в регистре записи для своего автозапуска, которые по сути те же самые: будут эти ключи и сам процесс снова обнаружен антивирусом, они ведь остались неизменными?
Ну тут как бы несколько факторов...
Ну для начала тут многое зависит от самого троя, что он умеет изначально... просто бывает такое что стаб может представлять сомбой только способы обмануть антивирус и не выдать его как вредоносное ПО, так же при обработке криптором трой может покотцатся и какие то фугкции пропадут, такое тоже бывает... Бывает такое что стаб имеет некоторый набор функций, тот же автозапуск, инжект в доверенный или в простой процесс и так далее... Но к сути вопроса, если файл не палится то антивирус наиболее вероятно что его не спалит, но он может отправить файл на анализ(если опция включена), и тогда вероятно что при первом обновлении базы сигнатур вирусов он уже начнёт палится, а повторная обработка этим же криптором(если он не полиморфный) не приведёт к желаемому результату. Хотя так же антивирусная компания может так же спалить и саму сигнатуру полиморфного криптора и стаба и тогда он будет палится так же как и простой.
DarckSol (01.05.10, 21:30:16)
smartRYX (02.05.10, 00:33:38)
Применительно к Bifrost, пробовавал криптовать сервер полиморфным PE криптором, но NOD32 сразу обнаруживает. На других антивирусах даже не проверял, нет смысла. Кстати, пробовал криптовать этим же криптором сам конфигуратор Bifrost, и NOD32 ничего не нашел. Конечно, среди public крипторов вряд ли можно найти те, что могли бы обойти антивирусы. Некоторые советуют криптовать два раза и даже разными крипторами.. По моему, после таких обработок файл если и сможет работать, то наверняка с ошибками. :)
salamandra (02.05.10, 11:48:37)
Криптованный файл непалится,это пока он не запущен в память,а в памяти он по большому счёту,уже в изначальном своём виде,если только криптор не меняет саму структуру файла и код шифруется обратно после запуска.
smartRYX (02.05.10, 13:59:17)
Цитата:Криптованный файл непалится,это пока он не запущен в память,а в памяти он по большому счёту,уже в изначальном своём виде,если только криптор не меняет саму структуру файла и код шифруется обратно после запуска.
да, я как раз об этом: если затем процесс в памяти в изначальном виде, как же его спрятать от антивируса? Файл будет всегда палиться, если зашифрован обычным полиморфным криптором?(не меняющим структуру файла)
да, я как раз об этом: если затем процесс в памяти в изначальном виде, как же его спрятать от антивируса? Файл будет всегда палиться, если зашифрован обычным полиморфным криптором?(не меняющим структуру файла)
DarckSol (09.07.10, 00:42:58)
Exist Crypter V1.0
File Info
Report date: 2010-07-08 23:43:09 (GMT 1)
File name: Stub.exe
File size: 19968 bytes
MD5 Hash: 837401a56a8cb19a9a1a701371bdea71
SHA1 Hash: 91094a8baf3b1c24aa30d210ff1504433a4449cb
Detection rate: 0 on 16 (0%)
Status: CLEAN
Detections
a-squared -
Avast - [/color]
AVG -
Avira AntiVir -
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
G-Data -
Ikarus T3 -
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 -
File Info
Report date: 2010-07-08 23:43:09 (GMT 1)
File name: Stub.exe
File size: 19968 bytes
MD5 Hash: 837401a56a8cb19a9a1a701371bdea71
SHA1 Hash: 91094a8baf3b1c24aa30d210ff1504433a4449cb
Detection rate: 0 on 16 (0%)
Status: CLEAN
Detections
a-squared -
Avast - [/color]
AVG -
Avira AntiVir -
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
G-Data -
Ikarus T3 -
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 -