Обман антивирусов

[SEARCHER]

Наше отношение к антивирусам несколько двоякое. С одной стороны, он спасает нас от ламеров, которые хотят впарить BackOrifice под видом фотографии своей сестры, которую он сфоткал в ванне. А с другой стороны, он нам мешает точно так же впарить троян соседу. Поэтому в этой статье мы постараемся подружиться с антивирями.
Многие, увидев, что их любимый трой уже попал в лапы к Жене Касперскому, забивают на него и либо ждут новой версии, либо ищут альтернативный софт.
Но как оказалось, делать это вовсе не надо, так как можно изменить любимый трой так, что все антивири пойдут сосать чупа-чупс! Об том и пойдёт речь в этой статье.
Для разпознавания вируса антивирь чаще всего использует сигнатурный поиск. (signature - подпись )
Говоря простым языком, сигнатура – это уникальная последовательность байт, которые идентифицирует вирус. Сигнатура может быть сплошной ( намример, “PL AN ET”) или разряженной ( например, “PL?? ?? AN**ET ), где ?? – любой байт, а ** - любое количество байт в данной позиции)
Наиболее распространённый метод – это поиск по разряженной сигнатуре или поиск по маске.
Для достижения более высокой скорости сканирования, антивирусы не проверяют весь файл целиком, а только точки входа в файл, то есть откуда начинается его выполнение.
Более сложные и изощрённые вирусы обнаруживаются по другой технологиии, так называемой виртуальной машины. Так же этот метод используется для распаковки вирусов, которые упакованы архиваторами, которые снабжены большим количеством антиотладочных приёмов (ASPack, tElock и др.)
Наша задача – без знания ассамблера и боли в заднем проходе, модифицировать файл так, чтобы антивирусы его не ловили. Поэтому подменять вирусную сигнатуру мы не будем, так как это занятие не для слабонервных. Поэтому м рассмотрим 3 варианта действий с сигнатурами: уничтожение сигнатур упаковщика, внедрение подложных сигнатур и дезактивация эмулятора. В этой статье пойдёт речь о первых двух методах.
1.Уничтожение сигнатур упаковщика
Если антивирус не может распаковать на своём универсальном распаковщике заражённый файл, то он будет пытаться узнать архиватор по его сигнатуре. А если мы её изменим, то антивирь файл не распакует и обломается. Например, для ASPack достаточно затереть первый байт точки входа (откуда начинается исполнение файла) поменяв 60h (опкод команды PUSHAD) на 90 h (опкод команды NOP)
Как это сделать? Будем работать на примере троя BackOrifice 2, который успешно палится всеми антивирусами, HIEV, PE-TOOLS, ASPack и Dr. WEB c AVP.
Итак, запакуем бекдор ASPack`ом. Оба антивируса ругаются, следовательно сигнатура этого упаковщика им знакома. Далее, загружаем файл в HIEV, переводим в hex-режим, давим на F5, потом F3, вводим 90 и жмём на F9, чтобы сохранить изменеия. Всё! Детище Жени Касперского молчит, Dr. WEB тоже.
2.Внедрение подложных сигнатур
Другой вариант – изменить сигнатуры упаковщики, то есть замаскировать его под другой архиватор. Тогда авнтивири ошибочно распознают упаковщик и тихо подавятся.
Берём трой, пакуем его ASPack`ом и внедрим в него подложные сигнатуры из EPProt`a. Допустим это будет tElock. Выбираем путь к файлу, отмечаем сигнатуру и жмём на баттон Protect EP. Натравливаем на него антивирусы и обламываемся. Оба продукта антивирусной защиты палят наш трой. Причина кроется в EPProt`e. Слишком уж избитый это способ. Ладно, мы тоже не лыком шиты, открываем HIEV, переходим в ассамблерный режим, переходим к точке входа, находим цепочку из 4 или более инструкций NOP, давим на F3, затем на Enter, вводим что-нибудь вроде add eax, ebx/sub eax, ebx и сохраняем. Пожалуйста! Стоит затереть пару команд и AVP молчит! Зато у доктора ВЕБа есть подозрение на вирус..
Вот и всё. Так не надрывая задницы можно пользоваться любимым софтом!

[X-Kostic]

Даная тема со статьей закрыта, вы можете обсудить её в теме обсуждения, но прошу не забывать посмотреть на дату написания статьи! Не смотря на то, что некоторые статьи устарели, они ещё представляют собой интерес для новичков.