it-swarm-es.com

¿Cómo funciona un crypter para evitar la detección de antivirus?

Me refiero a las criptomonedas utilizadas para cifrar archivos como virus y keyloggers con el único propósito de evitar la detección de antivirus. ¿Cómo trabajan?

23
gbr

En algunos círculos, "crypter" y "packer" son sinónimos de binarios o programas que se autoverifican y/o auto modifican. Los encriptadores pueden, más específicamente, significar auto-modificación que incluye encriptación y/o codificación de código (ver más abajo).

Le sugiero que lea Chris Eagle's The IDA Pro Book para una comprensión introductoria de los empacadores y su desmontaje de componentes y arquitectura.

El trabajo de Daniel Reynaud en los empacadores y el código de auto modificación también es muy fascinante. Él hace alguna distinción entre la verificación de integridad, las escrituras ciegas, la codificación de códigos y el cifrado de archivos PE en esta publicación de blog sobre visualización de empaquetadores y programas auto modificables . Su sistema básico de verificación de estas diversas implementaciones de técnicas en empaquetadores que utilizan instrumentación binaria dinámica (no es la mejor manera de hacerlo, pero puede ser muy rápido en comparación con otros métodos) está disponible en código https: //. google.com/archive/p/tartetatintools/

14
atdre

Podría echar un vistazo a algunos de los codificadores en el marco de metasploit. En particular, el Polymorphic XOR Additive Feedback Encoder (Shikata Ga Nai) podría valer la pena, ya que se describe en la documentación de Metasploit Unleashed con respecto a sin pasar por el antivirus detección.

11
Mark Davidson

Podemos hacer una diferencia entre los empacadores que, desde un binario, crean un nuevo binario, con una firma diferente que no es comprensible para un desensamblador y que se desempaquetará en la memoria para volver al código original, lo llamamos metamorfismo. Y están los empacadores que a partir de un binario crean un nuevo binario con una nueva firma que puede ser polimórfica pero que editará su propia firma en tiempo de ejecución cada vez que sea ejecutado, lo llamamos metaporfismo.

Si quieres ver motores metamórficos, puedes echar un vistazo a mi código (solo para elfos): AD_1DA

Pocos papeles geniales: https://vx-underground.org/papers.html (Todos son muy geniales, especialmente la categoría de infección)

0
n4sm