Правила Форума редакция от 22.06.2020 |
|
|
|
|
|
Опции темы | Опции просмотра | Language |
19.12.2004, 11:26 | #1 |
Обман антивирусов
Наше отношение к антивирусам несколько двоякое. С одной стороны, он спасает нас от ламеров, которые хотят впарить BackOrifice под видом фотографии своей сестры, которую он сфоткал в ванне. А с другой стороны, он нам мешает точно так же впарить троян соседу. Поэтому в этой статье мы постараемся подружиться с антивирями.
Многие, увидев, что их любимый трой уже попал в лапы к Жене Касперскому, забивают на него и либо ждут новой версии, либо ищут альтернативный софт. Но как оказалось, делать это вовсе не надо, так как можно изменить любимый трой так, что все антивири пойдут сосать чупа-чупс! Об том и пойдёт речь в этой статье. Для разпознавания вируса антивирь чаще всего использует сигнатурный поиск. (signature - подпись ) Говоря простым языком, сигнатура – это уникальная последовательность байт, которые идентифицирует вирус. Сигнатура может быть сплошной ( намример, “PL AN ET”) или разряженной ( например, “PL?? ?? AN**ET ), где ?? – любой байт, а ** - любое количество байт в данной позиции) Наиболее распространённый метод – это поиск по разряженной сигнатуре или поиск по маске. Для достижения более высокой скорости сканирования, антивирусы не проверяют весь файл целиком, а только точки входа в файл, то есть откуда начинается его выполнение. Более сложные и изощрённые вирусы обнаруживаются по другой технологиии, так называемой виртуальной машины. Так же этот метод используется для распаковки вирусов, которые упакованы архиваторами, которые снабжены большим количеством антиотладочных приёмов (ASPack, tElock и др.) Наша задача – без знания ассамблера и боли в заднем проходе, модифицировать файл так, чтобы антивирусы его не ловили. Поэтому подменять вирусную сигнатуру мы не будем, так как это занятие не для слабонервных. Поэтому м рассмотрим 3 варианта действий с сигнатурами: уничтожение сигнатур упаковщика, внедрение подложных сигнатур и дезактивация эмулятора. В этой статье пойдёт речь о первых двух методах. 1.Уничтожение сигнатур упаковщика Если антивирус не может распаковать на своём универсальном распаковщике заражённый файл, то он будет пытаться узнать архиватор по его сигнатуре. А если мы её изменим, то антивирь файл не распакует и обломается. Например, для ASPack достаточно затереть первый байт точки входа (откуда начинается исполнение файла) поменяв 60h (опкод команды PUSHAD) на 90 h (опкод команды NOP) Как это сделать? Будем работать на примере троя BackOrifice 2, который успешно палится всеми антивирусами, HIEV, PE-TOOLS, ASPack и Dr. WEB c AVP. Итак, запакуем бекдор ASPack`ом. Оба антивируса ругаются, следовательно сигнатура этого упаковщика им знакома. Далее, загружаем файл в HIEV, переводим в hex-режим, давим на F5, потом F3, вводим 90 и жмём на F9, чтобы сохранить изменеия. Всё! Детище Жени Касперского молчит, Dr. WEB тоже. 2.Внедрение подложных сигнатур Другой вариант – изменить сигнатуры упаковщики, то есть замаскировать его под другой архиватор. Тогда авнтивири ошибочно распознают упаковщик и тихо подавятся. Берём трой, пакуем его ASPack`ом и внедрим в него подложные сигнатуры из EPProt`a. Допустим это будет tElock. Выбираем путь к файлу, отмечаем сигнатуру и жмём на баттон Protect EP. Натравливаем на него антивирусы и обламываемся. Оба продукта антивирусной защиты палят наш трой. Причина кроется в EPProt`e. Слишком уж избитый это способ. Ладно, мы тоже не лыком шиты, открываем HIEV, переходим в ассамблерный режим, переходим к точке входа, находим цепочку из 4 или более инструкций NOP, давим на F3, затем на Enter, вводим что-нибудь вроде add eax, ebx/sub eax, ebx и сохраняем. Пожалуйста! Стоит затереть пару команд и AVP молчит! Зато у доктора ВЕБа есть подозрение на вирус.. Вот и всё. Так не надрывая задницы можно пользоваться любимым софтом!
__________________
|
|
Реклама: | Рекомендуем гипермаркет КНС - EX295281RUS - билеты на футбол в подарок каждому покупателю | афиша театров москва купить билеты | смотреть сквозь слезы к счастью | Рекомендуем - ноут dell - Подарок каждому покупателю! | мозаика continuum petrol mosaico 30x30 |
21.05.2006, 14:59 | #2 |
Постоялец
Регистрация: 29.01.2005
Сообщений: 230
Репутация: 204
|
Re: Обман антивирусов
Даная тема со статьей закрыта, вы можете обсудить её в теме обсуждения, но прошу не забывать посмотреть на дату написания статьи! Не смотря на то, что некоторые статьи устарели, они ещё представляют собой интерес для новичков.
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Совместимость антивирусов | Davic | Антивирусы | 184 | 14.10.2017 19:42 |
обман VPN | angole | Хакинг в локальных сетях | 9 | 22.02.2011 07:31 |
ТЕСТИРОВАНИЕ АНТИВИРУСОВ | PcKill | Антивирусы | 118 | 07.07.2009 16:05 |
Блокировка антивирусов | Zhlobny Hmur | Антивирусы | 5 | 25.01.2008 13:04 |
обман биоса | luceferion | Архив | 2 | 31.05.2007 22:56 |
|
|