Криптор VS Антивирус
BlackBiz
Так как я углубился в данную тему,и со временем понял что люди,которые
приобретают вирусный софт совсем не разбираются в его работе,как он
устроен,как его ловят АВ, да и вообще, кроме основных функций, ничего не
понимают,я решил написать данную статью.
Рассказывать что такое вирус я не буду,это знает даже школьник.
Противостояние будет Ботнет VS Антивирус.
Все владельцы ботнетов наверное знают что при создании билда,вы получаете
файл весом 25-100кб.
Соответственно ни один такой файл не выполнит всех заявленных функций ботнета, так как это обычный лоадер.
Далее уже этот лоадер грузит с сервера нужные файлы и модули,и вы получаете отстук, логи, скриншоты экранов,и т.д,все что заявленно в ботнете.
Теперь мы берем ваш лоадер и криптуем,получаем чистый файл,и как многие думают "ура, нам АВ не страшен"
Вы заблуждаетесь!
После попадания на ПК жертвы, АВ действительно без проблем пропустит ваш лоадер, но как только он начнет грузить файлы с сервера,и они будут грязными - АВ их блокнет,и ни одной из заявленных функций ваш ботнет не выполнит.
Итог: Нужно чистить файлы на сервере, ни один криптор это не в силах сделать.
Далее, поведение вируса.
Если ваш ботнет попал в лабораторию,и там его привязали по поведению,даже в чистом виде АВ его может снести,просто за то, что он выполняет действия,которые занесены в базу АВ.
Итог: Софт нужно обновлять и всегда следить за ним и дорабатывать.
Теперь разберем плюсы и минусы.
Когда вирус в чистом виде не инжектится,криптор делает это за него,и в итоге вирус попадает в процесс, к которому АВ не имеют доступа,и он считается доверительным.
Проще говоря,нет "тела",нечего ловить.
Вот небольшой пример,после установки ратник должен лечь сюда
Мы отключаем у него функцию инжекта,инжектим его криптором в процесс и кидаем на комп.
Он отстукивает
Идем на комп,включаем "показывать скрытые файлы и папки"
Идем в директорию где должен лежать вирус,и....
а его там нет,и ни какой АВ его не убъет,так как он теперь в процессе.
К примеру при прохождении тестов был закриптован и распространен ратник,не имеющий по дефолту инжекта, стаб прожил более месяца.
Теперь берем инжект в себя.Мне тут написал один человек,мол я закриптовал твоим криптором, сделал 2к инсталлов и стаб поймал 8 ген детектов.
Как так то???А все очень просто - он криптовал вирус,который :
1.Его вирус давно в базах практически всех АВ.
2.Его вирус изначально уже инжектится по дефолту.
3.Даже с такими показателями,он поймал только ген детекты и не засветил свой вирь.
Так что же такой инжект в себя,по простому,инжект в процесс,это сходить в туалет,а в себя,это обосраться в штаны.Когда вирус инжектится в себя,то он выплевывается не в процесс,откуда его АВ не достанет,а туда,куда указал разработчик софта.Я провел небольшей эксперемент,закинул человеку с дефендером 2 склееных вируса,один это давно засранный ратник,имеющий по дефолту детект 32/38,но который не инжектится сам,и второй софт,который
сейчас продается,имеет средний детект 9/38 и инжектится по дефолту.Итог был ожидаем,склеин файл после крипта успешно стал,ратник успешно его поимел и отстучался,а вот второй софт умер.И напомню,ратник паблик и есть во всех базах АВ.
Вывод думаю ясен,инжект виря по дефолту есть не очень хорошо,ни один криптор его не защитит,если он был уже спален АВ.Исключение только те вирусы,которые не имеют подгрузку с сервера,либо имеют,но файлы там чистые.
Так вот к чему я это все,прежде чем кричать что вам кто-то плохо закриптовал,
ваш файл наловил после 2к инсталлов 8 ген детектов (до сих пор смеюсь)
Разберитесь на сколько хорош сам ваш вирус.
А разработчикам совет - выпустили софт, так следите за ним, обновляйте, дорабатывайте.