Открой всем глаза на вчерашнее разоблочение Светилки или Свистелки

Очень часто в софт пихают кейлогер или их подобие, из всех выше представленных кто сможет определить это?

Ты кстати не хотел бы выдвинуть свою кандидатуру?

Нет, мне не пофаниться.

Давно хотелось заняться чем-то таким, что другим неведомо, и недоступно.Потешить ЧСВ, что-ли...

Вирустотал и доктор веб.А затем загугливать названия того, что там вылезло.Только и всего...

Ну если там конечно сверху не упаковано чем-то вроде vmprotect или написано java - то можно. Вон не так давно для Ауди одну утилиту на Delphi смотрела.

Да ладно тебе, мы же знаем что ты специалист по бензобакам и заборам

Вирустотал - ты это прикалываешься так? Обойти scantime детект проще простого, был например 24/61 стало 0/61 делов то.

НА нормальных vmdetect стоит. Не запустится просто на виртуалке. Или делать норм железный антик.

Как Вы обойдете scantime детект, для файла .exe , который я сначала запущу на виртуалке (Убедиться что это реально тот файл), проверю куда идет трафик от него (Для общего понимания беды), а потом уже загружу на вирустотал? Вы его уже не криптанете. Код вредоноса будет внутри основного файла .exe и будет показан, если это, конечно, не суперновый вирус какой-нить.

или же чтобы не мучиться, сначала проверить на vmray по базовой эвристики, строкам и suspected behaviour, ну а поскольку у них встроенных обход pafish и еще ряда детектов - то очень даже не плохо.

Все достаточно просто, есть такой класс программ как joiner они склеивают одно приложение с другим, более того хорошие джойнеры запускают все части в рамках одного процесса.
Учите матчасть - scantimе (сканирование без запуска в статике) и runtime (сканирование образа в память при запуске).
На виртуалке просто файл будет запущен без "подарка" и все, поскольку не думаю что вы эксперт по андитетекту ВМ. (если эксперт - то сорри)
См. выше - при наличие ВМ - будет ее детект и пайлоад не будет выполнен, как следствие - куда стучит - тоже не узнаете.
Virustotal это обычный scantime - его обходят все кто только может, это крайне бесполезно. К слову - добавляете ЭЦП на файлик и уже сможете больше половины АВ на том же VT сбрасывать по детектам.
Делаете кастомный ремаппинг секций или же морфинг метаданных для .net и что? Элементарный стилер на .net прошедший через пермутацию по control flow и class order swap уже как минимум по общим блокам совпадать не будет по сигнатурам или простым scantime эвристикам.

Про джойнеры. Ну, понятное дело, что там не сразу файл zagruziNaSvoyKompRMS.exe продавать будут. То, что вирус с прогой склеят или впишут в код - понятно по умолчанию.


Не понял, какую матчасть мне учить? Я про вирустотал в плане скантайм и писал вообще-то. Вы, может, не поняли до конца смысл моего месседжа?

Антидетект ВМ я считаю бессмысленным в глобальном плане из-за перманентной глючности Бокса. Но там железо прописать можно и т.д. Будет даже отображаться. Тут знания не из анналов АНБ. Курс Вектора в паблике лежит. Каким бы он кривым не был, общее понимание как и что настроить он дает. Поэтому ВМ можно под такое настроить. Файервалл покажет куда идет трафик. И вуаля. Тоже самое можно на дедике сделать или VNC.

Это нужно было написать еще раз в начале нашего диалога. Я про это имел ввиду, априори.


Прямо таки все, прямо таки и обходят?! Почему вой стоит по всему Даркнету, что криптов нормальных не найти?

Я Вас для начала попробую перевести на русский. То есть Вы предлагаете, сделать изменение пользовательских свойств и их значений или же провести трансформацию метаданных файла? Сделать это Вы собираетесь для .net. Если тут подразумевается расширение .aspx, то смысл Вашего мессаджа мне становится немного ясен.

Затем, Вы, наверное, имеете ввиду, что самый простой стиллер, прешедший через изменение структуры своего кода по последовательности потока исполнения (сценария) и замене (СИ++ рулит - это оттудава этот swap) порядка классов (С полями которые ), уже не будет таким же как прежде для того, чтобы scantime увидел в нем злобного антивиря.

А что, если после жесткого вмешательства в код программы с целью криптографиии ее содержимого ее кода, сама программа работать не будет? Тот же стиллер, например.

И пишите по русски, пожалуйста. А то я тоже знаю айкидо, каратэ, самбо и много других очень страшных слов.

Умные и духовно развитые девушки - это главная ценность этого мира. Лука, видимо, просто кокетничает с Вами.

А так, Вы, кнечно, умный человек и прекрасно эрудированный в области програмирования. Но при этом Вы простое делаете сложным, вместо того, чтобы сложное делать простым. И я пока не уверен, что Вы - девушка.

Смысл в scantime если он ничего не дает? Я вас прекрасно поняла - софт нужно смотреть в runtime, иначе эти все проверки просто фейк.

Чтобы вы знали, VMware тоже можно сделать полностью в андетекте - vmray использует vmware (во всяком случае раньше) и обходили спокойно pafish.

Да, обходят. По какому даркнету стоит вой? На эксп зайдите - там вам закриптуют нормально файл, только не берите у людей с 8 сообщениями.

Какой С++, вы о чем? O_O Я вам говорю проситуацию в целом и говорю еще раз, обход по scantime не проблема, основные детекты необычного поведения могут идти только по runtime.

Видно у вас какой-то свой, особенный русский Вы вообще о чем? Речь шла об обычных приложениях - которые написан на .net, он же Microsoft.NET, а то что вы говорите про .aspx это ASP.NET просто одна из частей платформы Microsoft.NET, но для написания веб приложений (чтобы вам было понятно - как php).

MSIL (ака .net ака Microsoft.NET) приложения спокойно рекомпилируются с сохранением функционала (типичный пример ildasm/ilasm в помощь), исключение составляют только MSIL mixed assembly где одновременно присутствует и MSIL и native code, но это скорее исключение чем правило, и то - они могут быть успешно односительно безопасно исправлены при помощи dnlib.

Я и пишу по русски, так что давайте вы не будете придираться

Если это голосование, то - http://darkmoney.cc/members/viktor-v-18804/, все остальное прикольно и весело , но ! работа быть модером, а не в уши посвистеть. В рабочих моментах не может быть : женской солидарности и приятельских отношений, надо подходить с точки зрения ответственности.
Всем удачи )

Угу, загрузил базу мейл+пас валидных корп почт экзотической страны по твоему способу с виртуалки или дедика, для справки стоит порядка 1000 бачей, а потом удивляйся почему валида нет. Но ведь ты же проверил на вирус тотал)) А базу въе6али.