как обойти продвинутый эмуль, ВМ, или песочницу?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-17 17:40:24.016666
|
|
|
uzzzver4556464
Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
|
Пишу прогу, извлекающую из своего нутра файлы и запускающая их через ShellExecute. Напихал антиотладку с tls, перехватом seh, самотрасировкой. При проверке на virusscan.jotti.org высунулся только ТрендМикро. Вопрос: есть ли универсальный способ идентификации виртуальных машин (всмысле отредактированых, перекомпиленых и патченых) и как определить запуск под песочницей.
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-18 00:30:25.476666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Косите под добрый файл, используйте левые апи вызовы (например создания диалоговых окон) + таймеры, т.к. не обязательно чтобы процесс сразу же выполнил что нужно. Используйте антиэмуляцию, готовых решений не дам ). Короче юзайте воображение. Вместо ShellExecute можно использовать другие апи, которые глубже!
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-18 01:35:52.960000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
quote:
используйте левые апи вызовы Это нужно использовать с умом, ибо сейчас АВерам не нравится код, в котором идет поочередный вызов большого количества апи, управление на которые никогда не передается, например: quote:
call BeginPaint call CreateCompatibleDC call CreateSolidBrush call DeleteDC call DeleteObject call ExtFloodFill call GetPixel call GetStockObject call SelectObject
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-18 06:31:35.933333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
так передавайте )
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-19 15:34:13.793333
|
|
|
uzzzver4556464
Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
|
В том то и прикол, что код запутан нармуль. При загрузке проги через тлс-каллбэк проверяется есть ли приатаченый дебагер и стоит ли в entripoint int3. По фиксированым меткам записана полная чуш. которая потом из сэх-обработчика по ходу выполнения меняется на 0ссh. Плюс к тому-же собственный сэх-обработчик перехватывает singlstap и дальше модифицирует код. Проблемма в том, что всю эту хрень можно обойти только в песочнице, виртуальной машине - но как понять, что прога под этими друзьями запущен. Кстати не вкурсе где нарыть исходники АПИ-шпиона?
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 00:18:36.503333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Знаю что на виртуалбокс сегментный регистр FS отличается от того же FS на реальном железе. Попробуй с ними поиграться, хотя уверен что это ничего не даст. P.S. А что пишет трэндмикро, как определяет?
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 01:52:51.550000
|
|
|
uzzzver4556464
Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
|
Весь прикол, что ТМ как раз и обзывает его дропером! Скорей всего в контролируемой среде отследил последствия запуска проги (смотрит, что делает программа, а не как). А по поводу виртуалбокса где читал? Просто я у касперски читал про лазейку в ВмВар, но статья старая и патчи затыкающие это палево есть давно.
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 01:58:17.273333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Нигде не читал, сам обнаружил. Тут http://www.cracklab.ru/f/index.php?action=vthread&forum=7&topic=13414 и тут http://forum.xakep.ru/m_1334297/tm.htm поднимал темы. /me пошел спать
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 02:34:04.700000
|
|
|
uzzzver4556464
Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
|
Тенкс :-)
|
|
|
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-21 03:31:46.956666
|
|
|
uzzzver4556464
Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
|
Облом
|
|
|
|
|