Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM
Вернуться   Компьютерный форум NoWa.cc > Компьютеры и Интернет > Интернет партизаны > Статьи

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 14 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

UTM-решение для бизнеса: межсетевой экран, антивирусы, прокси-сервер, VPN, ids/ips, https-фильтрация. Собственные сетевые сервисы, ip-телефония

загрузка...
Закрытая тема
 
Опции темы Language
Старый 19.12.2004, 11:26   #1
Пользователь
 
Аватар для SEARCHER
 
Регистрация: 02.08.2004
Адрес: iNTERNET
Сообщений: 141
Репутация: 220
Smile Обман антивирусов

Наше отношение к антивирусам несколько двоякое. С одной стороны, он спасает нас от ламеров, которые хотят впарить BackOrifice под видом фотографии своей сестры, которую он сфоткал в ванне. А с другой стороны, он нам мешает точно так же впарить троян соседу. Поэтому в этой статье мы постараемся подружиться с антивирями.
Многие, увидев, что их любимый трой уже попал в лапы к Жене Касперскому, забивают на него и либо ждут новой версии, либо ищут альтернативный софт.
Но как оказалось, делать это вовсе не надо, так как можно изменить любимый трой так, что все антивири пойдут сосать чупа-чупс! Об том и пойдёт речь в этой статье.
Для разпознавания вируса антивирь чаще всего использует сигнатурный поиск. (signature - подпись )
Говоря простым языком, сигнатура – это уникальная последовательность байт, которые идентифицирует вирус. Сигнатура может быть сплошной ( намример, “PL AN ET”) или разряженной ( например, “PL?? ?? AN**ET ), где ?? – любой байт, а ** - любое количество байт в данной позиции)
Наиболее распространённый метод – это поиск по разряженной сигнатуре или поиск по маске.
Для достижения более высокой скорости сканирования, антивирусы не проверяют весь файл целиком, а только точки входа в файл, то есть откуда начинается его выполнение.
Более сложные и изощрённые вирусы обнаруживаются по другой технологиии, так называемой виртуальной машины. Так же этот метод используется для распаковки вирусов, которые упакованы архиваторами, которые снабжены большим количеством антиотладочных приёмов (ASPack, tElock и др.)
Наша задача – без знания ассамблера и боли в заднем проходе, модифицировать файл так, чтобы антивирусы его не ловили. Поэтому подменять вирусную сигнатуру мы не будем, так как это занятие не для слабонервных. Поэтому м рассмотрим 3 варианта действий с сигнатурами: уничтожение сигнатур упаковщика, внедрение подложных сигнатур и дезактивация эмулятора. В этой статье пойдёт речь о первых двух методах.
1.Уничтожение сигнатур упаковщика
Если антивирус не может распаковать на своём универсальном распаковщике заражённый файл, то он будет пытаться узнать архиватор по его сигнатуре. А если мы её изменим, то антивирь файл не распакует и обломается. Например, для ASPack достаточно затереть первый байт точки входа (откуда начинается исполнение файла) поменяв 60h (опкод команды PUSHAD) на 90 h (опкод команды NOP)
Как это сделать? Будем работать на примере троя BackOrifice 2, который успешно палится всеми антивирусами, HIEV, PE-TOOLS, ASPack и Dr. WEB c AVP.
Итак, запакуем бекдор ASPack`ом. Оба антивируса ругаются, следовательно сигнатура этого упаковщика им знакома. Далее, загружаем файл в HIEV, переводим в hex-режим, давим на F5, потом F3, вводим 90 и жмём на F9, чтобы сохранить изменеия. Всё! Детище Жени Касперского молчит, Dr. WEB тоже.
2.Внедрение подложных сигнатур
Другой вариант – изменить сигнатуры упаковщики, то есть замаскировать его под другой архиватор. Тогда авнтивири ошибочно распознают упаковщик и тихо подавятся.
Берём трой, пакуем его ASPack`ом и внедрим в него подложные сигнатуры из EPProt`a. Допустим это будет tElock. Выбираем путь к файлу, отмечаем сигнатуру и жмём на баттон Protect EP. Натравливаем на него антивирусы и обламываемся. Оба продукта антивирусной защиты палят наш трой. Причина кроется в EPProt`e. Слишком уж избитый это способ. Ладно, мы тоже не лыком шиты, открываем HIEV, переходим в ассамблерный режим, переходим к точке входа, находим цепочку из 4 или более инструкций NOP, давим на F3, затем на Enter, вводим что-нибудь вроде add eax, ebx/sub eax, ebx и сохраняем. Пожалуйста! Стоит затереть пару команд и AVP молчит! Зато у доктора ВЕБа есть подозрение на вирус..
Вот и всё. Так не надрывая задницы можно пользоваться любимым софтом!
__________________
SEARCHER вне форума
 
Вверх
Надежный китайский посредник Taobao.com


Реклама: арктос дпу-м 250Наматрасники чехлы DreamLine 160 x 195surp40-1.6восковка для литья где купить в москвеучебное транспортное средство


Старый 21.05.2006, 14:59   #2
X-Kostic
Постоялец
 
Регистрация: 29.01.2005
Сообщений: 237
Репутация: 204
По умолчанию Re: Обман антивирусов

Даная тема со статьей закрыта, вы можете обсудить её в [Для просмотра ссылок требуется регистрация. Зарегистрироваться...], но прошу не забывать посмотреть на дату написания статьи! Не смотря на то, что некоторые статьи устарели, они ещё представляют собой интерес для новичков.
X-Kostic вне форума
 
Вверх
Закрытая тема
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Совместимость антивирусов Davic Антивирусы 184 14.10.2017 19:42
обман VPN angole Хакинг в локальных сетях 9 22.02.2011 07:31
ТЕСТИРОВАНИЕ АНТИВИРУСОВ PcKill Антивирусы 118 07.07.2009 16:05
Блокировка антивирусов Zhlobny Hmur Антивирусы 5 25.01.2008 13:04
обман биоса luceferion Архив 2 31.05.2007 22:56

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 21:55. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2018 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.12206 секунды с 11 запросами