Насчёт энтропии и пропорциональных по размеру секций
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Насчёт энтропии и пропорциональных по размеру секций - 2010-10-11 17:24:19.566666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Хотел спросить насчёт энтропии - как лучше всего понизить её у отдельных секций? Пока что на ум пришло только то, что надо бы расширить секции и нулей туда в их конец добавить, но тогда все call и jmp будут указывать на левые адреса.
Насчёт новой таблицы секций(чтобы не было в файле по 11 секций или одна секция по 200h байт а другая по 50000h байт) всё бы хорошо но непонятно что делать если у секции виртуальных размер больше физического-ведь тогда если её смежную с ней секцию объединить в одну(в таблице секций) то тогда при загрузке k=(Виртуальный размер) - (физический размер) не загрузится в память в виде нулей и прога уйдёт в даун.
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-11 19:22:48.983333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Сильнейший вопрос, я аж +2 поставил…
А зачем вам понижать энтропию у отдельных секций?
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-11 23:21:29.060000
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
Потому что нынче антивирусы умудряются палить даже по энтропии отдельных секций. Если в файле до крипта была нормальная энтропия то она после крипта у меня такой же и остаётся, а если нет, то тут надо как то понижать, а то и без того признаков много, по которым антивири определяют криптор- от того же pushad в самом начале довольно сложно избавиться(тогда придётся в коде все регистры через push ложить в стёк что очень геморно сделать в полиморфном дешифраторе)
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-12 17:24:49.320000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Мощааааа
А откуда антивирус знает исходную энтропию?
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-12 20:24:57.226666
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: Pupkin-Zade
А откуда антивирус знает исходную энтропию?
Я думаю речь идёт о секции кода, а нормальный код, который не пытается бороться с аналитикой антивируса, имеет стандартное значение энтропии. Ну понятно – плюс-минус километр, но всё же вполне опознаваемое.
quote:
ORIGINAL: xmystikx
Хотел спросить насчёт энтропии - как лучше всего понизить её у отдельных секций?
Я далеко не специалист по борьбе за энтропию кода, но поскольку специалистов не видно на горизонте, всё же вмешаюсь. А откуда ты бинарный код берёшь? Компиляешь из сорца .asm? Ну дык натыкай в этот сорец команд типа add 0, eax, и типа того. Энтропия снизится. Это самое простое, что приходит на ум.
Или у тебя на руках только бинарь? Всё что я могу предложить в такой ситуации – написать эмулятор x86, затолкать бинарь в секцию данных, и интерпретировать этот код. Глупость, наверное, но более умных идей я не имею.
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-13 10:41:36.163333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Так он криптует трой, откуда у него исходники….
Вообще берет гордость за наших читателей, занимающихся энтропией секций, без всяких шуток
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-13 11:34:32.060000
|
|
|
scsi.aka.api
Сообщений: 122
Оценки: 0
Присоединился: 2008-07-02 00:58:06.646666
|
незнаю,правильно ли я тебя понял,почитай:
http://www.cracklab.ru/f/index.php?action=vthread&forum=6&topic=13431.
http://www.cracklab.ru/f/index.php?action=vthread&forum=5&topic=13891
http://www.cracklab.ru/art/?action=view&id=205
|
|
|
|
|
RE: Насчёт энтропии и пропорциональных по размеру секций - 2010-10-13 12:18:59.766666
|
|
|
xmystikx
Сообщений: 32
Оценки: 0
Присоединился: 2009-12-03 20:41:49.933333
|
quote:
scsi.aka.api Тут в каждой из этих тем лишь описание того, что такое энтропия и как её посчитать, а вот как понизить её у отдельных секций-этого я ещё не видел нигде.
quote:
А откуда антивирус знает исходную энтропию? У меня алгоритм шифрования-перестановки, соответственно энтропия вообще не меняется, так как сжатия данных нет. А собственно проблемы с ней возникают тогда, когда я криптую прогу уже запакованную каким-либо пакером(в ней энтропия довольно-таки велика), и тогда сразу штук 5 левых антивирей выскакивает из-за этой энтропии.
|
|
|
|
|
|
