Так как я углубился в данную тему,и со временем понял что люди,которые
приобретают вирусный софт совсем не разбираются в его работе,как он
устроен,как его ловят ав,да и вообще,кроме основных функций,ничего не
понимают,я решил написать данную статью.
Рассказывать что такое вирус я не буду,это знает даже школьник.
Противостояние будет Ботнет VS Антивирус.
Все владельцы ботнетов наверное знают что при создании билда,вы получаете
файл весом 25-100кб.
Соответственно ни один такой файл не выполнит всех заявленных функций ботнета,
так как это обычный лоадер.
Далее уже этот лоадер грузит с сервера нужные файлы и модули,и вы получаете отстук,логи,
скриншоты экранов,и т.д,все что заявленно в ботнете.
Теперь мы берем ваш лоадер и криптуем,получаем чистый файл,и как многие думают
"ура,нам АВ не страшен"Вы заблуждаетесь!
После попадания на ПК жертвы,АВ действительно без проблем пропустит ваш лоадер,но как только
он начнет грузить файлы с сервера,и они будут грязными,АВ их блокнет,и ни одной из заявленных функций
ваш ботнет не выполнит.Итог:Нужно чистить файлы на сервере,ни один криптор это не в силах сделать.
Далее,поведение вируса.Если ваш ботнет попал в лабораторию,и там его привязали по поведению,даже в
чистом виде АВ его может снести,просто за то,что он выполняет действия,которые занесены в базу АВ.
Итог:Софт нужно обновлять,и всегда следить за ним и дорабатывать.
Инженк.Когда создавался мой криптор,он изначально был разработан для инжекта в процесс,но
в итоге отказался работать с большинством продаваемого софта.Пришлось дорабатывать
инжект в себя.Теперь разберем плюсы и минусы.
Когда вирус в чистом виде не инжектится,криптор делает это за него,и в итоге вирус попадает в процесс,
к которому АВ не имеют доступа,и он считается доверительным.Проще говоря,нет "тела",нечего ловить.
Вот небольшой пример,после установки ратник должен лечь сюда
Мы отключаем у него функцию инжекта,инжектим его криптором в процесс и кидаем на комп.
Он отстукивает
Идем на комп,включаем "показывать скрытые файлы и папки"
Идем в директорию где должен лежать вирус,и....
а его там нет,и ни какой АВ его не убъет,так как он теперь в процессе.
К примеру при прохождении тестов был закриптован и распространет ратник,не имеющий по дефолту инжекта,
стаб прожил более мсяца.
Теперь берем инжект в себя.Мне тут написал один человек,мол я закриптовал твоим криптором,сделал 2к
инсталлов и стаб поймал 8 ген детектов.Как так то???А все очень просто,он криптовал вирус,который
1.Его вирус давно в базах практически всех АВ.
2.Его вирус изначально уже инжектится по дефолту.
3.Даже с такими показателями,он поймал только ген детекты и не засветил свой вирь.
Так что же такой инжект в себя,по простому,инжект в процесс,это сходить в туалет,а в себя,это обосраться
в штаны.Когда вирус инжектится в себя,то он выплевывается не в процесс,откуда его АВ не достанет,а туда,куда
указал разработчик софта.Я провел небольшей эксперемент,закинул человеку с дефендером 2 склееных вируса,один это давно
засранный ратник,имеющий по дефолту детект 32/38,но который не инжектится сам,и второй софт,который
сейчас продается,имеет средний детект 9/38 и инжектится по дефолту.Итог был ожидаем,склеин файл после крипта
успешно стал,ратник успешно его поимел и отстучался,а вот второй софт умер.И напомню,ратник паблик и есть во всех
базах АВ.Вывод думаю ясен,инжект виря по дефолту есть не очень хорошо,ни один криптор его не защитит,если он
был уже спален АВ.Исключение только те вирусы,которые не имеют подгрузку с сервера,либо имеют,но файлы там чистые.
Так вот к чему я это все,прежде чем кричать что вам кто-то плохо закриптовал,
ваш файл наловил после 2к инсталлов 8 ген детектов
(до сих пор смеюсь)Разберитесь на сколько хорош сам ваш вирус.А разработчикам совет,выпустили софт,так следите за ним,обновляйте,дорабатывайте.
приобретают вирусный софт совсем не разбираются в его работе,как он
устроен,как его ловят ав,да и вообще,кроме основных функций,ничего не
понимают,я решил написать данную статью.
Рассказывать что такое вирус я не буду,это знает даже школьник.
Противостояние будет Ботнет VS Антивирус.
Все владельцы ботнетов наверное знают что при создании билда,вы получаете
файл весом 25-100кб.
Соответственно ни один такой файл не выполнит всех заявленных функций ботнета,
так как это обычный лоадер.
Далее уже этот лоадер грузит с сервера нужные файлы и модули,и вы получаете отстук,логи,
скриншоты экранов,и т.д,все что заявленно в ботнете.
Теперь мы берем ваш лоадер и криптуем,получаем чистый файл,и как многие думают
"ура,нам АВ не страшен"Вы заблуждаетесь!
После попадания на ПК жертвы,АВ действительно без проблем пропустит ваш лоадер,но как только
он начнет грузить файлы с сервера,и они будут грязными,АВ их блокнет,и ни одной из заявленных функций
ваш ботнет не выполнит.Итог:Нужно чистить файлы на сервере,ни один криптор это не в силах сделать.
Далее,поведение вируса.Если ваш ботнет попал в лабораторию,и там его привязали по поведению,даже в
чистом виде АВ его может снести,просто за то,что он выполняет действия,которые занесены в базу АВ.
Итог:Софт нужно обновлять,и всегда следить за ним и дорабатывать.
Инженк.Когда создавался мой криптор,он изначально был разработан для инжекта в процесс,но
в итоге отказался работать с большинством продаваемого софта.Пришлось дорабатывать
инжект в себя.Теперь разберем плюсы и минусы.
Когда вирус в чистом виде не инжектится,криптор делает это за него,и в итоге вирус попадает в процесс,
к которому АВ не имеют доступа,и он считается доверительным.Проще говоря,нет "тела",нечего ловить.
Вот небольшой пример,после установки ратник должен лечь сюда
Мы отключаем у него функцию инжекта,инжектим его криптором в процесс и кидаем на комп.
Он отстукивает
Идем на комп,включаем "показывать скрытые файлы и папки"
Идем в директорию где должен лежать вирус,и....
а его там нет,и ни какой АВ его не убъет,так как он теперь в процессе.
К примеру при прохождении тестов был закриптован и распространет ратник,не имеющий по дефолту инжекта,
стаб прожил более мсяца.
Теперь берем инжект в себя.Мне тут написал один человек,мол я закриптовал твоим криптором,сделал 2к
инсталлов и стаб поймал 8 ген детектов.Как так то???А все очень просто,он криптовал вирус,который
1.Его вирус давно в базах практически всех АВ.
2.Его вирус изначально уже инжектится по дефолту.
3.Даже с такими показателями,он поймал только ген детекты и не засветил свой вирь.
Так что же такой инжект в себя,по простому,инжект в процесс,это сходить в туалет,а в себя,это обосраться
в штаны.Когда вирус инжектится в себя,то он выплевывается не в процесс,откуда его АВ не достанет,а туда,куда
указал разработчик софта.Я провел небольшей эксперемент,закинул человеку с дефендером 2 склееных вируса,один это давно
засранный ратник,имеющий по дефолту детект 32/38,но который не инжектится сам,и второй софт,который
сейчас продается,имеет средний детект 9/38 и инжектится по дефолту.Итог был ожидаем,склеин файл после крипта
успешно стал,ратник успешно его поимел и отстучался,а вот второй софт умер.И напомню,ратник паблик и есть во всех
базах АВ.Вывод думаю ясен,инжект виря по дефолту есть не очень хорошо,ни один криптор его не защитит,если он
был уже спален АВ.Исключение только те вирусы,которые не имеют подгрузку с сервера,либо имеют,но файлы там чистые.
Так вот к чему я это все,прежде чем кричать что вам кто-то плохо закриптовал,
ваш файл наловил после 2к инсталлов 8 ген детектов
(до сих пор смеюсь)Разберитесь на сколько хорош сам ваш вирус.А разработчикам совет,выпустили софт,так следите за ним,обновляйте,дорабатывайте.
Последнее редактирование:
