Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

как обойти продвинутый эмуль, ВМ, или песочницу?

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Прочее] >> как обойти продвинутый эмуль, ВМ, или песочницу?
Имя
Сообщение << Старые топики   Новые топики >>
как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-17 17:40:24.016666   
uzzzver4556464

Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
 Пишу прогу, извлекающую из своего нутра файлы и запускающая их через ShellExecute. Напихал антиотладку с tls, перехватом seh, самотрасировкой. При проверке на virusscan.jotti.org высунулся только ТрендМикро. Вопрос: есть ли универсальный способ идентификации виртуальных машин (всмысле отредактированых, перекомпиленых и патченых) и как определить запуск под песочницей. 
Post #: 1
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-18 00:30:25.476666   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
Косите под добрый файл, используйте левые апи вызовы (например создания диалоговых окон) + таймеры, т.к. не обязательно чтобы процесс сразу же выполнил что нужно. Используйте антиэмуляцию, готовых решений не дам ). Короче юзайте воображение. Вместо ShellExecute можно использовать другие апи, которые глубже! 
Post #: 2
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-18 01:35:52.960000   
VaZoNeZ

Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
quote:

используйте левые апи вызовы

Это нужно использовать с умом, ибо сейчас АВерам не нравится код, в котором идет поочередный вызов большого количества апи, управление на которые никогда не передается, например:

quote:

call BeginPaint
call CreateCompatibleDC
call CreateSolidBrush
call DeleteDC
call DeleteObject
call ExtFloodFill
call GetPixel
call GetStockObject
call SelectObject

Post #: 3
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-18 06:31:35.933333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
так передавайте )
Post #: 4
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-19 15:34:13.793333   
uzzzver4556464

Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
В том то и прикол, что код запутан нармуль. При загрузке проги через тлс-каллбэк проверяется есть ли приатаченый дебагер и стоит ли в entripoint int3. По фиксированым меткам записана полная чуш. которая потом из сэх-обработчика по ходу выполнения меняется на 0ссh. Плюс к тому-же собственный сэх-обработчик перехватывает singlstap и дальше модифицирует код. Проблемма в том, что всю эту хрень можно обойти только в песочнице, виртуальной машине - но как понять, что прога под этими друзьями запущен. Кстати не вкурсе где нарыть исходники АПИ-шпиона?
Post #: 5
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 00:18:36.503333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
Знаю что на виртуалбокс сегментный регистр FS отличается от того же FS на реальном железе. Попробуй с ними поиграться, хотя уверен что это ничего не даст.
P.S. А что пишет трэндмикро, как определяет?
Post #: 6
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 01:52:51.550000   
uzzzver4556464

Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
Весь прикол, что ТМ как раз и обзывает его дропером! Скорей всего в контролируемой среде отследил последствия запуска проги (смотрит, что делает программа, а не как). А по поводу виртуалбокса где читал? Просто я у касперски читал про лазейку в ВмВар, но статья старая и патчи затыкающие это палево есть давно.
Post #: 7
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 01:58:17.273333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
Нигде не читал, сам обнаружил.
Тут http://www.cracklab.ru/f/index.php?action=vthread&forum=7&topic=13414
и тут http://forum.xakep.ru/m_1334297/tm.htm
поднимал темы.

/me пошел спать
Post #: 8
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-20 02:34:04.700000   
uzzzver4556464

Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
Тенкс :-)
Post #: 9
RE: как обойти продвинутый эмуль, ВМ, или песочницу? - 2009-11-21 03:31:46.956666   
uzzzver4556464

Сообщений: 230
Оценки: 0
Присоединился: 2008-07-31 01:42:54.426666
Облом
Post #: 10
Страниц:  [1]
Все форумы >> [Прочее] >> как обойти продвинутый эмуль, ВМ, или песочницу?







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.