В общем предлагаю размещать тут кодес по этой теме.
Думаю многим будет интересен этот аспект.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

+1, давайте антиэмуляционных трюков, да побольше. Будет на чем тестить свой эмуль.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
свой эмуль
- выкладывай, будем тестить

ага, только вот например сейчас меня интересует вопрос, обхода "чудо"- эмулятора от Microsoft Security Essentials

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Думаешь большой брат не смотрит этот форум, наивный?

| Сообщение посчитали полезным:

Alchemistry пишет:
Думаешь большой брат не смотрит этот форум, наивный?
Да пусть смотрит. Мы же имеем чисто академический интерес, и не собираемся делать ничего плохого, ведь правда?
Лично меня интересует недокументированное поведение инструкций процессора, разные редко учитываемые особенности их эмуляции, тесты для эмуляторов, и.т.п.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

mov ax,1234
bswap ax

| Сообщение посчитали полезным:

Code:

1. mov ax,1234
2. bswap ax

А вот и большой брат

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Стаб трассировать и изменять. Это динамическое изменение(налету) части графа.

| Сообщение посчитали полезным:

Поясните, вы тут об эмуляторах антивирусов говорите? Сейчас правдорубы набегут и закроют топек.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Я говорю об эмуляторах процессора, в отрыве от окружения. Антивирусы мне не интересны.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr
Тогда причём тут авер мс ?

Реверсите VM и юзайте её баги =)

| Сообщение посчитали полезным:

GetLastError

| Сообщение посчитали полезным:

Clerk пишет:
Тогда причём тут авер мс ?
А я что-нибудь говорил про мс?

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr
Это ТС сказал.

| Сообщение посчитали полезным:

HiEndsoft пишет:
Думаю многим будет интересен этот аспект.
Поможем dermatolog улучшить его прот

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

HiEndsoft пишет:
меня интересует вопрос, обхода "чудо"- эмулятора от Microsoft Security Essentials

а ты, пардон, сам с ним столкнулся или с чужих слов? Ещё каких-то пол года назад он у меня первого пинча прекрасно пропустил

| Сообщение посчитали полезным:

Пропуск пинчей ни разу не показатель уровня движка.

| Сообщение посчитали полезным:

int пишет:
Пропуск пинчей ни разу не показатель уровня движка.

эмулятор - стоставляющая эвристика. Эвристик не отработал вирь с неизвестной сигнатурой. Движок рулит?

| Сообщение посчитали полезным:

Эмулятор просто исполняет код и он не знает, какой код хороший, какой плохой. Если эвристики работают плохо, то двиг может и хороший, но ав от этого не лучше.

Clerk
я работал в ав и знаю, что такое эвристика в контексте ав, расслабьтесь уже, может ближе к тебе будем?

| Сообщение посчитали полезным:

int
Эвристик не связан с эмулятором. Он даже к сигнатурам никакого отношения не имеет. Умник ёпта

| Сообщение посчитали полезным:

Clerk
>>Эвристик не связан с эмулятором. Он даже к сигнатурам никакого отношения не имеет

Твое последнее высказывание это пять! Давно так не ржал.
Т.е. ты считаешь, что эвристик, эмулятор и сигнатуры типа никак не связаны? Или связаны только эмулятор и сигнатуры? А эвристик так - пару флагов взвести на сырой проге что-ли? Продолжаешь эпично позориться как на васме в том былинном триде.

| Сообщение посчитали полезным:

Alchemistry, не будем ссорится, ТС же не для этого тему создавал.

| Сообщение посчитали полезным:

Alchemistry
Они связаны также, как серная руда с французкими булочками
На счёт позорится не понял, на васме всё сказано давно. Вы как и все далеки от этих вопросов, так как в глаза не видели ни эмуляторов ни эвристиков.

HiEndsoft
Например флай не корректно выполнит следующий код:

В Eax будет отличное от нуля значение.

| Сообщение посчитали полезным:

Clerk
Про сигнатурный поиск речи не шло, где вы это увидели в моём посте? А на счёт того, что эвристика и эмулятор никак не связаны, то здесь вы или опять что-то своё имеете в виду, или трава у вас неправильная. У эвристиков есть несколько способов детекта малвары. Например, есть эмуляторные эвристики, они предполагают детект по событиям эмулятора. Например, открытие файла, закрытие процесса, создание своей копии и т.д. Эвристики (люди, а не программа) не пишут эмулятор (ну разве что баг-репорты шлют), но они строят детект именно на нём, в частности.

P.S. Клерк, по чём сейчас порох?
P.P.S. И да, на васме вы местный клоун. А здесь местный клоун я, и вам придётся с этим смириться.

| Сообщение посчитали полезным:

--> Design and Testing of a CPU Emulator <-- Привет от большого брата.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

HiEndsoft
а вы значит крипторы или малварь пишете?

| Сообщение посчитали полезным:

Clerk пишет:
Эвристик не связан с эмулятором

По чем там нынче опиум у народа?

Clerk пишет:
Он даже к сигнатурам никакого отношения не имеет

построение фразы поражает своей глубиной. Право же, иногда лучше жевать

| Сообщение посчитали полезным:

Может как и Clerk кто либо код будет выкладывать на обсуждение, а не флудить?

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft
тебе никто ничего не будет выкладывать, малварщикам тут не помогают

| Сообщение посчитали полезным:

За кодом в комерц.

-----
Shalom ebanats!

| Сообщение посчитали полезным: