FuckAV - Форум о крипторах

Анонимный антивирусный сканер VPN-сервис
[Copi]Team DDoS Service

SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN

Реклама на форуме | Помощь форуму | Аварийный блог

Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!!

Вернуться  

Статьи Раздел с интересными статьями!

Для того, чтобы ответить в теме, необходимо зарегистрироваться.
 
Опции темы Опции просмотра
Старый 29-05-2014   #1
POCT

Администратор
 
Аватар для POCT

Последняя активность:
1 минуту назад
Регистрация: 16.02.2011
Сообщений: 1,733
Поблагодарили всего: 1,428
за это сообщение: 7
По умолчанию [NOD32] Дополнительный модуль сканирования памяти, обзор

egyp7 и valentin_p
coru.ws
Источник: [Ссылки могут видеть только зарегистрированные пользователи.]


Добрый день! Много споров ходит вокруг новой технологии nod32.
Да и признаться, меня тоже смутила надпись "Обнаружена угроза в памяти", при запуске одного криптованного семпла. Неужели ав стали сканировать память процессов, чтобы ловить запакованные семплы сразу после распаковки? Но в таком случае пойдёт прахом вся отрасль криптования, ибо придётся морфить код который исполняется, а не скрывать его за неприступным для эмуляторов слоем криптора.


Собственно проблема была интересной, и мы решили провести группу тестов.
Тестировать ПО на AV вообще хорошая идея. Действительно, зачем выбрасывать деньги за неактуальный софт, который спалится через 40 минут после прогруза..

Мы взяли поньку, Win32/Fareit по классификации майкрософта, и криптанули её.
Чистый семпл сразу сносится нодом, криптованный как ни в чем не бывало сбрасывает отчет на диск.
Значит для того что бы стимулировать AV к проверке памяти нужны некие дополнительные условия, чем просто запуск нового процесса.

цитата из документации:
Модуль HIPS включает в себя дополнительный модуль сканирования памяти, который сканирует выполняющиеся приложения при изменении их состояния с целью обнаружения возможных подозрительных или вредоносных действий.

Не очень внятно, особенно в конце. Но выбирать не приходится.

Продолжим тесты, теперь возьмём софт, с которым был замечен новый вид детекта, например один граббер. Я пробовал на тест андромеду 2.07, но реакции AV не последовало.

После запуска криптованого граббера он успешно отработал вплоть до... внедрения в exporer!


Что интересно, детект чистого файла без криптовки и детект файла в памяти, совершенно одинаков.


Ок, другой семпл. Малоизвестный RAT, так же криптованный, при запуске получаем это:


Пора разобраться, в чем дело. Открываем Ollydbg, трассируем до появления детекта.
Как и ожидалось, он происходит при вызове RegSetValueExW, прописывающий наш семпл на авторан.
Обычная проактивка!


Обдумав все полученные факты, мы пришли к выводу, что т.н. "модуль сканирования памяти" это надстройка над HIPS (HIPS - проактивная технология защиты, построенная на анализе поведения.)
При вызове подозрительных апи, например необходимых для инжекта в чужой процесс, NOD останавливает выполнение нашего семпла и проверяет его в памяти. Что разумно, ибо к моменту вызова палевных апи модуль почти наверняка будет в распакованном виде, даже если до этого был качественно закриптован.

Используйте качественный софт с поддержкой!
__________________
"Водка взяла верх над ним." © gerry

Мануал на тему: "Как получить пароль к криптору?" Обязательно к прочтению всем новичкам.

Программы и сервисы, помогающие получить пароль к крипторам.

Если кто-то решил пофлудить, предлагаю сначала ознакомиться с нашим банлистом. /banlist.php

Халявный сканер файлов на детект (35 антивирусов).
Крипторы
Онлайн проверка на вирусы бесплатно. http://scanner.fuckav.ru/
Для гугла: http://twitter.com/fuckav_ru

Флуд, набивание постов, слив на вирустотал - бан.
POCT на форуме  
Сказали спасибо:
Dark Koder (31-05-2014), dreams_killer (30-05-2014), lolkins1 (30-05-2014), Gvozd (29-05-2014), fullhack (29-05-2014), nevazhno (29-05-2014), zeoman (29-05-2014)
Для того, чтобы ответить в теме, необходимо зарегистрироваться.

Метки
radikal, дополнительный, модуль, обзор, памяти, сканирования


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
страницы для сканирования mou69 Помощь 6 23-01-2013 06:10
Обзор утилит с Def Con 20 veterok Новости 0 15-08-2012 09:15
модуль платежей Cyberplat mciblast Помощь 0 21-02-2012 10:50
Обнаружение сканирования узлов и портов Alta1re Библиотека 2 22-11-2010 23:38
Дополнительный зароботок Gryazi.net Куплю/Продам 17 15-11-2010 15:18

Часовой пояс GMT +3, время: 15:08.



Powered by vBulletin® Copyright ©2000 - 2014, Jelsoft Enterprises Ltd. Перевод: zCarot
Други: SEO блог Deymos'a| ProLogic.Su| DServers.ru| Форум веб-мастеров