Посл.ответ
Сообщение
Ранг: 237.0 (наставник), 20thxАктивность: 0.13↘ 0 Статус: Участник sysenter
Создано: 02 октября 2010 03:21 · Личное сообщение · #1
В общем предлагаю размещать тут кодес по этой теме.
Думаю многим будет интересен этот аспект.
----- продавец резиновых утёнков | Сообщение посчитали полезным:
Ранг: 369.8 (мудрец), 400thxАктивность: 0.39↘ 0 Статус: Участник
Создано: 02 октября 2010 03:23 · Личное сообщение · #2
+1, давайте антиэмуляционных трюков, да побольше. Будет на чем тестить свой эмуль.
----- PGP key <0x1B6A24550F33E44A> | Сообщение посчитали полезным:
Ранг: 237.0 (наставник), 20thxАктивность: 0.13↘ 0 Статус: Участник sysenter
Создано: 02 октября 2010 03:24 · Поправил: HiEndsoft · Личное сообщение · #3
ntldr пишет: свой эмуль - выкладывай, будем тестить
ага, только вот например сейчас меня интересует вопрос, обхода "чудо"- эмулятора от Microsoft Security Essentials
----- продавец резиновых утёнков | Сообщение посчитали полезным:
Ранг: 145.8 (ветеран), 191thxАктивность: 0.14↗ 0.36 Статус: Участник
Создано: 02 октября 2010 06:02 · Личное сообщение · #4
Думаешь большой брат не смотрит этот форум, наивный?
| Сообщение посчитали полезным:
Ранг: 369.8 (мудрец), 400thxАктивность: 0.39↘ 0 Статус: Участник
Создано: 02 октября 2010 06:18 · Личное сообщение · #5
Alchemistry пишет: Думаешь большой брат не смотрит этот форум, наивный? Да пусть смотрит. Мы же имеем чисто академический интерес, и не собираемся делать ничего плохого, ведь правда?
Лично меня интересует недокументированное поведение инструкций процессора, разные редко учитываемые особенности их эмуляции, тесты для эмуляторов, и.т.п.
----- PGP key <0x1B6A24550F33E44A> | Сообщение посчитали полезным:
Ранг: 116.6 (ветеран), 8thxАктивность: 0.05↘ 0 Статус: Участник
Создано: 02 октября 2010 06:23 · Личное сообщение · #6
mov ax,1234
bswap ax
| Сообщение посчитали полезным:
Ранг: 355.4 (мудрец), 55thxАктивность: 0.32↘ 0 Статус: Uploader 5KRT
Создано: 02 октября 2010 08:37 · Поправил: Coderess · Личное сообщение · #7
А вот и большой брат
----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes | Сообщение посчитали полезным:
Ранг: 255.8 (наставник), 19thxАктивность: 0.15↘ 0.01 Статус: Участник vx
Создано: 02 октября 2010 09:22 · Поправил: Clerk · Личное сообщение · #8
Стаб трассировать и изменять. Это динамическое изменение(налету) части графа.
| Сообщение посчитали полезным:
Ранг: 238.8 (наставник), 67thxАктивность: 0.2↘ 0 Статус: Участник CyberHunter
Создано: 02 октября 2010 09:25 · Поправил: Flint · Личное сообщение · #9
Поясните, вы тут об эмуляторах антивирусов говорите? Сейчас правдорубы набегут и закроют топек.
----- Nulla aetas ad discendum sera | Сообщение посчитали полезным:
Ранг: 369.8 (мудрец), 400thxАктивность: 0.39↘ 0 Статус: Участник
Создано: 02 октября 2010 10:16 · Личное сообщение · #10
Я говорю об эмуляторах процессора, в отрыве от окружения. Антивирусы мне не интересны.
----- PGP key <0x1B6A24550F33E44A> | Сообщение посчитали полезным:
Ранг: 255.8 (наставник), 19thxАктивность: 0.15↘ 0.01 Статус: Участник vx
Создано: 02 октября 2010 10:21 · Поправил: Clerk · Личное сообщение · #11
ntldr Тогда причём тут авер мс ?
Реверсите VM и юзайте её баги =)
| Сообщение посчитали полезным:
Ранг: 10.1 (новичок)Активность: 0.01↘ 0 Статус: Участник
Создано: 02 октября 2010 10:31 · Личное сообщение · #12
GetLastError
| Сообщение посчитали полезным:
Ранг: 369.8 (мудрец), 400thxАктивность: 0.39↘ 0 Статус: Участник
Создано: 02 октября 2010 10:43 · Личное сообщение · #13
Clerk пишет: Тогда причём тут авер мс ? А я что-нибудь говорил про мс?
----- PGP key <0x1B6A24550F33E44A> | Сообщение посчитали полезным:
Ранг: 255.8 (наставник), 19thxАктивность: 0.15↘ 0.01 Статус: Участник vx
Создано: 02 октября 2010 10:46 · Личное сообщение · #14
ntldr Это ТС сказал.
| Сообщение посчитали полезным:
Ранг: 568.2 (! ), 465thxАктивность: 0.55↗ 0.57 Статус: Участник оптимист
Создано: 02 октября 2010 11:45 · Личное сообщение · #15
HiEndsoft пишет: Думаю многим будет интересен этот аспект. Поможем
dermatolog улучшить его прот
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. | Сообщение посчитали полезным:
Ранг: 1131.7 (!!!!) , 447thxАктивность: 0.67↘ 0.2 Статус: Участник
Создано: 02 октября 2010 16:18 · Личное сообщение · #16
HiEndsoft пишет: меня интересует вопрос, обхода "чудо"- эмулятора от Microsoft Security Essentials а ты, пардон, сам с ним столкнулся или с чужих слов? Ещё каких-то пол года назад он у меня первого пинча прекрасно пропустил
| Сообщение посчитали полезным:
Ранг: 101.0 (ветеран), 344thxАктивность: 1.15↘ 0 Статус: Участник
Создано: 02 октября 2010 16:51 · Личное сообщение · #17
Пропуск пинчей ни разу не показатель уровня движка.
| Сообщение посчитали полезным:
Ранг: 1131.7 (!!!!) , 447thxАктивность: 0.67↘ 0.2 Статус: Участник
Создано: 02 октября 2010 16:56 · Личное сообщение · #18
int пишет: Пропуск пинчей ни разу не показатель уровня движка. эмулятор - стоставляющая эвристика. Эвристик не отработал вирь с неизвестной сигнатурой. Движок рулит?
| Сообщение посчитали полезным:
Ранг: 101.0 (ветеран), 344thxАктивность: 1.15↘ 0 Статус: Участник
Создано: 02 октября 2010 17:24 · Поправил: Модератор · Личное сообщение · #19
Эмулятор просто исполняет код и он не знает, какой код хороший, какой плохой. Если эвристики работают плохо, то двиг может и хороший, но ав от этого не лучше.
Clerk я работал в ав и знаю, что такое эвристика в контексте ав, расслабьтесь уже, может ближе к тебе будем?
| Сообщение посчитали полезным:
Ранг: 255.8 (наставник), 19thxАктивность: 0.15↘ 0.01 Статус: Участник vx
Создано: 03 октября 2010 00:26 · Личное сообщение · #20
int Эвристик не связан с эмулятором. Он даже к сигнатурам никакого отношения не имеет. Умник ёпта
| Сообщение посчитали полезным:
Ранг: 145.8 (ветеран), 191thxАктивность: 0.14↗ 0.36 Статус: Участник
Создано: 03 октября 2010 05:21 · Поправил: Alchemistry · Личное сообщение · #21
Clerk >>Эвристик не связан с эмулятором. Он даже к сигнатурам никакого отношения не имеет
Твое последнее высказывание это пять!
Давно так не ржал.
Т.е. ты считаешь, что эвристик, эмулятор и сигнатуры типа никак не связаны? Или связаны только эмулятор и сигнатуры?
А эвристик так - пару флагов взвести на сырой проге что-ли? Продолжаешь эпично позориться как на васме в том былинном триде.
| Сообщение посчитали полезным:
Ранг: 40.4 (посетитель), 3thxАктивность: 0.08↘ 0 Статус: Участник
Создано: 03 октября 2010 09:34 · Личное сообщение · #22
Alchemistry , не будем ссорится, ТС же не для этого тему создавал.
| Сообщение посчитали полезным:
Ранг: 255.8 (наставник), 19thxАктивность: 0.15↘ 0.01 Статус: Участник vx
Создано: 03 октября 2010 14:41 · Личное сообщение · #23
Alchemistry Они связаны также, как серная руда с французкими булочками
На счёт позорится не понял, на васме всё сказано давно. Вы как и все далеки от этих вопросов, так как в глаза не видели ни эмуляторов ни эвристиков.
HiEndsoft Например флай не корректно выполнит следующий код:
В Eax будет отличное от нуля значение.
| Сообщение посчитали полезным:
Ранг: 101.0 (ветеран), 344thxАктивность: 1.15↘ 0 Статус: Участник
Создано: 03 октября 2010 18:09 · Личное сообщение · #24
Clerk Про сигнатурный поиск речи не шло, где вы это увидели в моём посте? А на счёт того, что эвристика и эмулятор никак не связаны, то здесь вы или опять что-то своё имеете в виду, или трава у вас неправильная. У эвристиков есть несколько способов детекта малвары. Например, есть
эмуляторные эвристики , они предполагают детект по событиям эмулятора. Например, открытие файла, закрытие процесса, создание своей копии и т.д. Эвристики (люди, а не программа) не пишут эмулятор (ну разве что баг-репорты шлют), но они строят детект именно на нём, в частности.
P.S. Клерк, по чём сейчас порох?
P.P.S. И да, на васме вы местный клоун. А здесь местный клоун я, и вам придётся с этим смириться.
| Сообщение посчитали полезным:
Ранг: 527.7 (! ), 381thxАктивность: 0.16↘ 0.09 Статус: Участник Победитель турнира 2010
Создано: 03 октября 2010 20:13 · Личное сообщение · #25
Ранг: 35.0 (посетитель), 11thxАктивность: 0.03↘ 0 Статус: Участник
Создано: 03 октября 2010 23:00 · Личное сообщение · #26
HiEndsoft а вы значит крипторы или малварь пишете?
| Сообщение посчитали полезным:
Ранг: 1131.7 (!!!!) , 447thxАктивность: 0.67↘ 0.2 Статус: Участник
Создано: 04 октября 2010 00:37 · Личное сообщение · #27
Clerk пишет: Эвристик не связан с эмулятором По чем там нынче опиум у народа?
Clerk пишет: Он даже к сигнатурам никакого отношения не имеет построение фразы поражает своей глубиной. Право же, иногда лучше жевать
| Сообщение посчитали полезным:
Ранг: 237.0 (наставник), 20thxАктивность: 0.13↘ 0 Статус: Участник sysenter
Создано: 14 октября 2010 11:58 · Личное сообщение · #28
Может как и
Clerk кто либо код будет выкладывать на обсуждение, а не флудить?
----- продавец резиновых утёнков | Сообщение посчитали полезным:
Ранг: 35.0 (посетитель), 11thxАктивность: 0.03↘ 0 Статус: Участник
Создано: 14 октября 2010 12:05 · Поправил: sniper · Личное сообщение · #29
HiEndsoft тебе никто ничего не будет выкладывать, малварщикам тут не помогают
| Сообщение посчитали полезным:
Ранг: 309.8 (мудрец), 21thxАктивность: 0.17↘ 0 Статус: Участник
Создано: 14 октября 2010 12:06 · Личное сообщение · #30
За кодом в комерц.
----- Shalom ebanats! | Сообщение посчитали полезным: